来源于谷歌安全性科学研究精英团队 Project Zero 的研究表明,Linux 开发人员在修复安全漏洞层面比别的所有人(包含谷歌)都需要更为快速。
从 2019 年到 2021 年,Project Zero 在标准规定的 90 天期限内共向供应商汇报了 376 个问题。这种 bug 中的 351 个 (93.4%) 已被修复、14 个 (3.7%) 被供应商标识为 WontFix 、11 个 (2.9%) 仍未修复。在公示公布时,已有时候 8 个超出了修复期限;其他 3 个仍处在修复期限内。大部分系统漏洞集中化在极少数供应商那边,有 96 个系统漏洞 (26%) 被汇报给微软公司,85 个 (23%) 汇报给iPhone,60 个 (16%) 汇报给了谷歌。
Project Zero 为供应商给予了 90 天的规范期限及其 14 天的宽限期時间来处理安全隐患。研究发现,开源系统程序猿均值仅用 25 天就修复了 Linux 问题。此外,iPhone则花了 69 天、谷歌花了 44 天、Mozilla 花了 46 来天修复了系统漏洞。排在最终的是微软公司 83 天,和甲骨文字 109 天(虽然仅有为数不多安全隐患)。别的主要包含 Apache、Canonical、Github 和 Kubernetes 等开源系统机构和企业,以 44 天的時间排在前端。
总体来说,总体修复時间一直在降低,但在 2019 年和 2020 年中间更为显著。在这段时间,微软公司、iPhone和 Linux 总体上降低了他俩的修复時间,Linux 从 2019 年的 32 天发展趋势到了 2021 年的仅 15 天。而谷歌在 2020 年加速了速率,随后在 2021 年再度变缓。2021 年,供应商均值必须 52 来天修复汇报的安全漏洞。
除开发觉 2021 年的均值远小于 90 天的最终期限外,该精英团队还发觉错过了最终期限或附加的 14 天缓冲期的供应商总数也有些降低。 上年只有一个 Google Android 安全隐患超出了修复期限,别的2年均值每一年 9 个;缓冲期共应用了 9 次(尤其是微软公司应用了一半),略低别的年代的 12.5 次均值。
挪动电脑操作系统层面,iPhone iOS(均值 70 天)比谷歌 Android 系统软件(均值 72 天)公布补丁包的速率要迅速。但另一方面,iOS 包括有 72 个 bug,远超过 Android 的 10 个问题。
电脑浏览器问题也已经以快速的效率获得处理。Chrome 均值不上 30 天就解决了 40 个问题,Mozilla Firefox 仅有 8 个安全漏洞,均值 37.8 天就能修复。Webkit 是 Apple 的 Web 电脑浏览器模块,关键由 Safari 应用;Webkit 的程序猿均值必须超出 72 天的时间段来修复 bug。
科学研究强调,与以往两年对比,每个人在修复系统漏洞层面都做得更快了。这可能是由于承担责任的信息披露现行政策已变成领域实际上的规范,供应商更有工作能力对不一样期限的汇报作出快速响应。且伴随着清晰度的提升,企业也一直在相互学习最佳实践。ZDNet 觉得,这在较大水平上得益于开源系统开发方式的发展趋势,大家意识到一起修复 bug 对每个人都会有益处。
文中转自OSCHINA
本文文章标题:谷歌科学研究:Linux 在修复系统漏洞层面比iPhone、谷歌和微软公司做得更强
文中详细地址:https://www.oschina.net/news/183323