Команда ИБ-специалистов Project Zero из Google посчитала, с какой скоростью разработчики разных операционных систем и программ устраняют уязвимости безопасности в своих продуктах. Рассматривались баги, обнаруженные в период с января 2019 года по декабрь 2021-го.
Команда ИБ-специалистов Project Zero из Google посчитала, с какой скоростью разработчики разных операционных систем и программ устраняют уязвимости безопасности в своих продуктах. Рассматривались баги, обнаруженные в период с января 2019 года по декабрь 2021-го.
Оказалось, что опенсорсные разработчики закрывают бреши в Linux в среднем за 25 дней. Причём за эти два года они значительно ускорились — с 32 дней в 2019-м до всего 15 дней в 2021-м.
Для сравнения, чтобы пропатчить уязвимости безопасности, Apple в среднем нужно 69 дней, Google — 44 дня, Mozilla — 46 дней. Худший результат показали Microsoft (83 дня) и Oracle (109 дней), хотя у последней таких уязвимостей было немного. Остальные — главным образом опенсорсные организации и компании, такие как Apache, Canonical, Github и Kubernetes — исправляют уязвимости безопасности за 44 дня.
В целом, время, необходимое разработчикам на исправление таких проблем, сокращается: если три года назад оно в среднем составляло 80 дней после репорта, то в 2021 году — 52 дня. Исследователи Project Zero отмечают, что за последние два года особенно ускорились разработчики Microsoft, Apple и Linux.
Что касается мобильных операционных систем, разработчики iOS оказались немного быстрее Android — 70 дней против 72. Однако первые за изученный период исправили 72 бага, тогда как разработчики Android — 10.
Уязвимости безопасности в браузерах тоже стали фиксить оперативнее: 40 проблем, найденных в Chrome, в среднем устранялись быстрее чем за 30 дней. Mozilla на исправление 8 уязвимостей безопасности в Firefox тратила менее 38 дней. Разработчики браузерного движка Webkit от Apple, который в основном используется в Safari, были почти вдвое медленнее — 72 дня.
Специалисты Project Zero традиционно дают разработчикам 90 дней на исправление обнаруженных уязвимостей, прежде чем предать их огласке. По словам исследователей, за два года среднее время упало сильно ниже этого дедлайна, а также уменьшилось число разработчиков, которые не укладываются в него и которым требуются дополнительные 14 дней на выпуск патчей.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.