Tra gennaio 2019 e dicembre 2021, Project Zero ha segnalato 376 problemi con una scadenza di 90 giorni. Di questi, 351 (93,4%) sono stati corretti, 14 (3,7%) sono stati contrassegnati come “WontFix” dai fornitori e 11 (2,9%) sono ancora aperti. Tuttavia, dell’ultima categoria, tre sono ancora entro il termine di 90 giorni.
È interessante notare che 96 (26%) dei bug trovati erano nei prodotti Microsoft, 85 (23%) in Apple e 60 (16%) in Google. Oracle ha superato la maggior parte delle scadenze e Microsoft si è classificata al secondo posto. Per quanto riguarda il tempo impiegato dai principali fornitori per risolvere l’anno, puoi controllare la suddivisione per anno di seguito:
| Venditore | Giorni medi per correggere i bug nel 2019 | Giorni medi per correggere i bug nel 2020 | Giorni medi per correggere i bug nel 2021 |
|---|---|---|---|
| Mela | 71 | 63 | 64 |
| Microsoft | 85 | 87 | 76 |
| 49 | 22 | 53 | |
| Linux | 32 | 22 | 15 |
Come si può vedere da quanto sopra, ci sono sviluppi positivi per i fornitori su tutta la linea. Tuttavia, è interessante vedere che il periodo di grazia è stato richiesto nove volte nel 2021, di cui la metà richiesta da Microsoft.
Sui dispositivi mobili sono stati segnalati 76 bug per iOS, 10 per i prodotti Samsung e 6 per Pixel. Il tempo medio di correzione per iOS era di 70 giorni, mentre gli altri due erano 72. Se ti stai chiedendo perché ci sono così tanti difetti di sicurezza rilevati su iOS, è perché Apple fornisce molte app come parte del sistema operativo, mentre le app si aggiornano Android è gestito principalmente tramite Google Play, quindi non è coperto dal sistema operativo. difetti di livello.
Per il browser, c’erano 40 bug in Chrome, 27 nel WebKit di Apple e 8 in Firefox. WebKit è stato il più lento a correggere i difetti che si verificavano entro 72 giorni, Chrome era 30 giorni e Firefox era 38 giorni.
Google Project Zero ha osservato che:
Nel complesso, vediamo emergere dai dati una serie di tendenze promettenti. I fornitori risolvono quasi tutti i bug che ricevono e di solito lo fanno entro una scadenza di 90 giorni più un periodo di grazia di 14 giorni quando necessario. Negli ultimi tre anni, i fornitori hanno accelerato per la maggior parte il rilascio delle patch, riducendo di fatto il tempo medio complessivo delle patch a circa 52 giorni. Nel 2021 è stata superata una sola scadenza di 90 giorni. Sospettiamo che questa tendenza possa essere dovuta al fatto che le politiche di divulgazione responsabile sono diventate lo standard de facto nel settore e che i fornitori sono più in grado di rispondere rapidamente a segnalazioni con scadenze diverse. Sospettiamo inoltre che i fornitori abbiano adottato le migliori pratiche l’uno dall’altro poiché la trasparenza è aumentata nel settore.
Un avvertimento importante: comprendiamo che le segnalazioni di Project Zero possono differire da altre segnalazioni di bug in quanto possono essere elaborate più rapidamente poiché esiste un rischio percepito di divulgazione pubblica (poiché il team dirà se le condizioni di scadenza non sono soddisfatte). e Project Zero è una fonte affidabile per segnalazioni di bug affidabili. Incoraggiamo i fornitori a pubblicare metriche, anche se di alto livello, per dare un’idea migliore della rapidità con cui vengono risolti i problemi di sicurezza del settore e continuiamo a incoraggiare altri ricercatori di sicurezza a condividere le loro esperienze.
Il team di Project Zero ha notato che Microsoft sta impiegando molto tempo per correggere i bug perché in genere si basa sulla frequenza di aggiornamento delle patch di martedì. Tuttavia, spera che Microsoft possa trovare un modo migliore e più intelligente per rilasciare gli aggiornamenti di sicurezza più velocemente. Il team di sicurezza di Project Zero ha le stesse speranze e raccomandazioni per la patch di sicurezza Android. Maggiori dettagli interessanti li puoi trovare qui .
Lascia un commento