来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。
从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些 bug 中的 351 个 (93.4%) 已被修复、14 个 (3.7%) 被供应商标记为 WontFix 、11 个 (2.9%) 仍未修复。在公告发布时,已有时 8 个超过了修复期限;其余 3 个仍处于修复期限内。大多数漏洞集中在少数供应商那里,有 96 个漏洞 (26%) 被报告给微软,85 个 (23%) 报告给苹果,60 个 (16%) 报告给了谷歌。
Project Zero 为供应商提供了 90 天的标准期限以及 14 天的宽限时间来解决安全问题。研究发现,开源程序员平均只用 25 天就修复了 Linux 问题。与此同时,苹果则花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天来修复了漏洞。排在最后的是微软 83 天,和甲骨文 109 天(尽管只有少数几个安全问题)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等开源组织和公司,以 44 天的时间排在前列。
总的来说,整体修复时间一直在减少,但在 2019 年和 2020 年之间最为明显。在此期间,微软、苹果和 Linux 整体上减少了他们的修复时间,Linux 从 2019 年的 32 天发展到了 2021 年的仅 15 天。而谷歌在 2020 年加快了速度,然后在 2021 年再次放缓。2021 年,供应商平均需要 52 天来修复报告的安全漏洞。
除了发现 2021 年的平均值远低于 90 天的最后期限外,该团队还发现错过最后期限或额外的 14 天宽限期的供应商数量也有所下降。 去年只有一个 Google Android 安全问题超过了修复期限,其他两年平均每年 9 个;宽限期共使用了 9 次(尤其是微软使用了一半),略低于其他年份的 12.5 次平均值。
移动操作系统方面,苹果 iOS(平均 70 天)比谷歌 Android 系统(平均 72 天)发布补丁的速度要更快。但另一方面,iOS 包含有 72 个 bug,远多于 Android 的 10 个问题。
浏览器问题也正在以更快的速度得到解决。Chrome 平均不到 30 天就解决了 40 个问题,Mozilla Firefox 仅有 8 个安全漏洞,平均 37.8 天就能修复。Webkit 是 Apple 的 Web 浏览器引擎,主要由 Safari 使用;Webkit 的程序员平均需要超过 72 天的时间来修复 bug。
研究指出,与过去几年相比,所有人在修复漏洞方面都做得更好了。这或许是因为负责任的披露政策已成为行业事实上的标准,供应商更有能力对不同期限的报告做出快速反应。且随着透明度的提高,公司也一直在相互学习最佳实践。qwephp认为,这在很大程度上归功于开源开发方法的发展,人们意识到一起修复 bug 对每个人都有好处。