Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero

Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной.

С 2019 по 2021 год проектом выявлено 376 проблем, из которых было исправлено 351 (93.4%). Без исправления остались 11 (2.9%) уязвимостей, а ещё 14 (3.7%) проблем были помечены как не подлежащие исправлению (WontFix). С годами отмечается снижение числа уязвимостей, исправления для которых не укладываются в выделенный срок подготовки исправлений – в 2021 году для 14% были запрошены дополнительные 14 дней на исправление и лишь одна уязвимость не была исправлена до раскрытия информации.

Vendor

Total bugs

Fixed by day 90

Fixed during

grace period

Exceeded deadline

& grace period

Avg days to fix

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Others*

55

48 (87%)

3 (5%)

4 (7%)

44

TOTAL

346

294 (84%)

34 (10%)

18 (5%)

61

В среднем на формирование исправления уязвимости в 2021 году требовалось 52 дня, в 2020 году – 54 дня, в 2019 году – 67 дней, в 2018 – 80. Наиболее оперативно уязвимости устранялись в ядре Linux – в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах. Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней У Apple на исправление в среднем уходило 64, 63 и 71 день. В продуктах Google среднее время формирования исправлений по годам составило 53, 22 и 49 дней.

Vendor

Bugs in 2019

(avg days to fix)

Bugs in 2020

(avg days to fix)

Bugs in 2021

(avg days to fix)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

Others*

54 (63)

35 (54)

14 (29)

TOTAL

199 (67)

87 (54)

63 (52)


Browser

Bugs

Avg days from bug report to public patch

Avg days from public patch to release

Avg days from bug report to release

Chrome

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

Total

75

8.8

37.3

46.1

Release. Ссылка here.