Google 安全團隊 Project Zero 近日分享了過去幾年安全研究的統(tǒng)計數(shù)據(jù),在 2019 年 1 月至 2021 年 12 月期間,團隊共計報告了 376 個漏洞,期限為 90 天。 其中 351 個(93.4%)已被修復(fù),14 個(3.7%)被供應(yīng)商標(biāo)記為“WontFix”,11 個(2.9%)仍未修復(fù)。然而,在最后一類中,有 3 個仍在 90 天的期限內(nèi)。
在所有被發(fā)現(xiàn)的漏洞中, 微軟 產(chǎn)品中檢測到了 96 個(26%), 蘋果 檢測到了 85 個(23%),而 Google 自己檢測到了 60 個(16%)。
從上面可以看出,供應(yīng)商的情況都有積極的變化。然而,有趣的是,在 2021 年,寬限期被要求了 9 次,其中一半是由微軟提出的。
在移動方面,iOS 有 76 個 BUG 被報告, 三星 產(chǎn)品有 10 個,Pixels 有 6 個。iOS 的平均修復(fù)時間為 70 天,而其他兩個品牌為 72 天。如果你想知道為什么在iOS上檢測到如此多的安全缺陷,這是因為蘋果將大量的應(yīng)用程序作為操作系統(tǒng)的一部分,而 Android 的應(yīng)用程序更新主要是通過 Google Play 管理,所以不屬于操作系統(tǒng)級別的缺陷。
在瀏覽器方面,Chrome 有 40 個 BUG,蘋果的 WebKit 有 27 個 BUG,F(xiàn)irefox 有 8 個 BUG。WebKit 修補缺陷的速度最慢,為72天,Chrome 為30天,而 Firefox 為 38 天。
Google Project Zero 指出:總的來說,我們看到數(shù)據(jù)中出現(xiàn)了一些有希望的趨勢。供應(yīng)商正在修復(fù)他們收到的幾乎所有的 BUG,而且他們通常在 90 天的期限內(nèi)完成,必要時還有14天的寬限期。在過去的三年里,供應(yīng)商在大多數(shù)情況下都加快了他們的補丁,有效地將個平均修復(fù)時間減少到約52天。在2021年,只有一個 90 天的期限被超過。我們懷疑這種趨勢可能是由于負責(zé)任的披露政策已經(jīng)成為行業(yè)的事實標(biāo)準(zhǔn),供應(yīng)商更有能力對不同期限的報告做出快速反應(yīng)。我們還懷疑,由于行業(yè)的透明度越來越高,供應(yīng)商已經(jīng)從彼此那里學(xué)到了最佳做法。一個重要的注意事項:我們知道,與其他錯誤報告相比,來自Project Zero的報告可能是異常值,因為它們可能會得到更快的行動,因為存在著公開披露的實際風(fēng)險(因為如果最后期限條件沒有得到滿足,團隊就會披露),而且Project Zero是可靠的錯誤報告的可信來源。我們鼓勵供應(yīng)商發(fā)布指標(biāo),即使是高水平的指標(biāo),以便更好地全面了解整個行業(yè)安全問題的修復(fù)速度,并繼續(xù)鼓勵其他安全研究人員分享他們的經(jīng)驗。
【來源:cnBeta.COM】
關(guān)鍵詞:
