据 Google 的 Project Zero报告称,与去年相比,组织正在更快地解决零日漏洞。软件供应商平均需要52天来解决零项目报告的漏洞,而3年前的平均时间约为80天。
好消息是修复漏洞的平均时间远低于90天的最后期限,研究人员还观察到错过最后期限(或额外的14 天宽限期)的供应商数量显著减少 。谷歌零项目研究人员报告称,在2021年,只有一种情况下供应商超过了最后期限,而14%的错误需要宽限期。
“2019年至2021年之间,零项目在我们标准的90天期限内向供应商报告了376个问题。这些错误中的351个(93.4%) 已修复,而供应商已将14个 (3.7%) 标记为 WontFix。11个 (2.9%) 其他错误仍未修复,尽管在撰写本文时 8 个已过了修复期限;其余 3 个仍处于修复期限内。” 阅读谷歌发布的报告。“大多数漏洞都集中在少数供应商周围,向微软报告了 96 个错误 (26%),向苹果报告了 85 个 (23%),向谷歌报告了 60 个 (16%)。”
下表包括自2019年1月以来,零项目在90天期限内向供应商报告并已修复的所有漏洞。
Linux、Mozilla 和 Google 是解决该漏洞最有效的组织,而最差的是甲骨文、微软和三星。
Google Project Zero还分析了移动操作系统的零日指标,iOS和 Android 修复漏洞的平均时间相似,平均修复时间分别为70天和72天。
“首先要注意的是,在这段时间里,iOS收到的来自零项目的错误报告似乎比任何版本的 Android都多得多,但这并不是研究目标选择的不平衡,这更多地反映了Apple的出货方式软件。iMessage、Facetime 和Safari/WebKit 等“应用程序”的安全更新都作为操作系统更新的一部分提供,因此我们将这些更新包括在操作系统的分析中。另一方面,Android 上独立应用程序的安全更新是通过 Google Play 商店进行的,因此不包括在此分析中。尽管如此,所有三个供应商的平均修复时间都非常相似。”
在处理网络浏览器时,Chrome 的平均 bug 修复周期最短,为29.9天,而WebKit漏洞平均需要72.7天。
“在过去三年中,供应商在很大程度上加速了他们的补丁程序,有效地将总体平均修复时间缩短到了大约52天。2021年,只有一个90天的期限被超过。”
这种趋势可能是由于负责任的披露政策已成为行业事实上的标准,供应商更有能力对不同期限的报告做出快速反应。并且供应商们已经相互学习了最佳实践,该行业的透明度越来越高。
