Google 資安團隊指出,Linux 開發者修補資安漏洞的速度,比其他主流軟硬體與作業系統業者都快

Google 旗下的資安研究團隊 Project Zero,日前發表一分針對市場主流作業系統、軟硬體業者修補該單位提報資安漏洞所需時間的統計報告;報告中指出 Linux 開發者推出資安修補所需日數是最短的,平均為 25 日。

在這份報告中,Project Zero 統計了 2021 年各大主流作業系統暨軟硬體廠商,針對該單位發現並提報的資安漏洞,推出修補更新所需的日數。首先,各廠商推出修補的平均所需日數為 52 日,較三年前的 80 日大幅加速,顯見各廠商對資安漏洞的修補更加重視,並投入了大量資源。

報告中說,Project Zero 在 2019 到 2021 年間,一共向各廠商提報多達 376 個資安漏洞,並要求這些廠商按該單位設立的標準(90 日)內修復漏洞;其中有 351 個(93.4%)獲得修復、14 個(3.7%)被廠商回報列為不予修復(won’t fix)、11 個(2.9%)從未修復。

從漏洞修復的速度來看,這三年來各大廠商修復漏洞的速度多半都有加快,從 2019 年到 2021 年所需日數如下所示:

  • Apple:71 天、63 天、64 天;
  • Microsoft:85 天、87 天、76 天;
  • Google:49 天、22 天、53 天;
  • Linux:32 天、22 天、15 天;
  • 其他:63 天、54 天、29 天。

而在未能於 90 日內修復提報漏洞的比例來看,近三年來比例最高的是 Oracle,有高達 57% 的漏洞都未能於 90 日再加 14 天最後期限的 104 日內修復;而 Apple 與 Micrsoft 則有 5%、Linux 有 4%、Google 有 2%,其他為 7%。

  • 參考連結

A walk through Project Zero metrics

https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html

Linux developers patch security holes faster than anyone else, says Google Project Zero

https://www.zdnet.com/article/google-project-zero-finds-linux-developers-patch-security-holes-faster-than-anyone-else/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 資安漏洞 修補 Linux
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄