Google 安全團隊 Project Zero 近日分享了過去幾年安全研究的統計數據,在 2019 年 1 月至 2021 年 12 月期間,團隊共計報告了 376 個漏洞,期限為 90 天。其中 351 個(93.4%)已被修復,14 個(3.7%)被供應商標記為“WontFix”,11 個(2.9%)仍未修復。然而,在最後一類中,有 3 個仍在 90 天的期限內。
在所有被發現的漏洞中,微軟產品中檢測到了 96 個(26%),蘋果檢測到了 85 個(23%),而 Google 自己檢測到了 60 個(16%)。具體數據如下:
從上面可以看出,供應商的情況都有積極的變化。然而,有趣的是,在 2021 年,寬限期被要求了 9 次,其中一半是由微軟提出的。
在移動方面,iOS 有 76 個 BUG 被報告,三星產品有 10 個,Pixels 有 6 個。iOS 的平均修復時間為 70 天,而其他兩個品牌為 72 天。如果你想知道為什麼在iOS上檢測到如此多的安全缺陷,這是因為蘋果將大量的應用程序作為操作系統的一部分,而 Android 的應用程序更新主要是通過 Google Play 管理,所以不屬於操作系統級別的缺陷。
在瀏覽器方面,Chrome 有 40 個 BUG,蘋果的 WebKit 有 27 個 BUG,Firefox 有 8 個 BUG。WebKit 修補缺陷的速度最慢,為72天,Chrome 為30天,而 Firefox 為 38 天。
Google Project Zero 指出:
總的來說,我們看到數據中出現了一些有希望的趨勢。供應商正在修復他們收到的幾乎所有的 BUG,而且他們通常在 90 天的期限內完成,必要時還有14天的寬限期。在過去的三年裡,供應商在大多數情況下都加快了他們的補丁,有效地將整個平均修復時間減少到約52天。
在2021年,只有一個 90 天的期限被超過。我們懷疑這種趨勢可能是由於負責任的披露政策已經成為行業的事實標準,供應商更有能力對不同期限的報告做出快速反應。我們還懷疑,由於行業的透明度越來越高,供應商已經從彼此那裡學到了最佳做法。
一個重要的注意事項:我們知道,與其他錯誤報告相比,來自Project Zero的報告可能是異常值,因為它們可能會得到更快的行動,因為存在着公開披露的實際風險(因為如果最後期限條件沒有得到滿足,團隊就會披露),而且Project Zero是可靠的錯誤報告的可信來源。
我們鼓勵供應商發布指標,即使是高水平的指標,以便更好地全面了解整個行業安全問題的修復速度,並繼續鼓勵其他安全研究人員分享他們的經驗。
