谷歌研究:Linux 在修補漏洞方面比蘋果、谷歌和微軟做得更好

2022-02-21 09:00:11

來自谷歌安全研究團隊 Project Zero 的,Linux 開發者在修復安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。

從 2019 年到 2021 年,Project Zero 在標準的 90 天期限內共向供應商報告了 這些  bug 中的 351 個 (93.4%) 已被修復、14 個 (3.7%) 被供應商標記為 WontFix 、11 個 (2.9%) 仍未修復。在公告發布時,已有時 8 個超過了修復期限;其餘 3 個仍處於修復期限內。大多數漏洞集中在少數供應商那裡,有 96 個漏洞 (26%) 被報告給微軟,85 個 (23%) 報告給蘋果,60 個 (16%) 報告給了谷歌。

Project Zero 為供應商提供了 90 天的標準期限以及 14 天的寬限時間來解決安全問題。研究發現,開源程式設計師平均只用 25 天就修復了 Linux 問題。與此同時,蘋果則花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天來修復了漏洞。排在最後的是微軟 83 天,和甲骨文 109 天(儘管只有少數幾個安全問題)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等開源組織和公司,以 44 天的時間排在前列。 

總的來說,整體修復時間一直在減少,但在 2019 年和 2020 年之間最為明顯。在此期間,微軟、蘋果和 Linux 整體上減少了他們的修復時間,Linux 從 2019 年的 32 天發展到了 2021 年的僅 15 天。而谷歌在 2020 年加快了速度,然後在 2021 年再次放緩。2021 年,供應商平均需要 52 天來修復報告的安全漏洞。

除了發現 2021 年的平均值遠低於 90 天的最後期限外,該團隊還發現錯過最後期限或額外的 14 天寬限期的供應商數量也有所下降。 去年只有一個 Google Android 安全問題超過了修復期限,其他兩年平均每年 9 個;寬限期共使用了 9 次(尤其是微軟使用了一半),略低於其他年份的 12.5 次平均值。

行動作業系統方面,蘋果 iOS(平均 70 天)比谷歌 Android 系統(平均 72 天)釋出修補程式的速度要更快。但另一方面,iOS 包含有 72 個 bug,遠多於 Android 的 10 個問題。

瀏覽器問題也正在以更快的速度得到解決。Chrome 平均不到 30 天就解決了 40 個問題,Mozilla Firefox 僅有 8 個安全漏洞,平均 37.8 天就能修復。Webkit 是 Apple 的 Web 瀏覽器引擎,主要由 Safari 使用;Webkit 的程式設計師平均需要超過 72 天的時間來修復 bug。

研究指出,與過去幾年相比,所有人在修復漏洞方面都做得更好了。這或許是因為負責任的披露政策已成為行業事實上的標準,供應商更有能力對不同期限的報告做出快速反應。且隨著透明度的提高,公司也一直在相互學習最佳實踐。ZDNet ,這在很大程度上歸功於開源開發方法的發展,人們意識到一起修復 bug 對每個人都有好處。 

展開閱讀全文