作者 | Ryan Schoen
整理 | 张洁
2012年来,Project Zero一直专注于挖掘安全研究人员更难发现的安全漏洞,从而提高互联网的安全性。他们与各行各业的人合作,目的是为了修复安全漏洞和更新人们的软件。
据Project Zero中的Ryan Schoen统计,2021年,供应商平均需要52天来修复Project Zero报告的安全漏洞。与3年前相比,少了28天,已经取得了很大的进步。
一旦供应商在标准期限内收到错误报告,会有90天的时间来修复它并向公众发布修补版本,另外还有14天的宽限期。在过去三年中,供应商在很大程度上加速了修补漏洞的速度,有效地将整体平均修复时间减少到了52天。
从2019年到2021年,Project Zero向供应商报告了376个漏洞问题,其中向微软报告了96个漏洞 ,向苹果报告了85个,向谷歌报告了60个。这些问题中有351个已被修复,14个已被供应商标记为WontFix,另外还有剩下的11个漏洞仍未修复。
从表中可以发现,供应商的整体修复时间一直在减少,其中2019年至2020年期间修复天数变化最快,之后变化就比较缓慢了。
从手机操作系统来看,三个供应商的平均修复时间都在71左右,其中苹果错误比安卓错误多很多,但修复时间最少。
根据图中数据可知,浏览器问题也被解决了,其中Chrome修复速度最快,不到30天就已经解决了40个问题。Firefox错误最少,仅有8个,需要37.8天才能修补好。WebKit是Apple的Web浏览器引擎,它的修复速度最慢,27个问题修复了将近72天。
总而言之,希望所有供应商考虑发布有关漏洞的修复时间的数据。通过提高整个行业的透明度、信息共享和协作,才能更好地了解现有的困难,去推动该行业的发展,让互联网变得更安全。
原文链接:Linux developers patch security holes faster than anyone else, says Google Project Zero | ZDNet
1379
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
