谷歌研究:Linux 在修补漏洞方面比苹果、谷歌和微软做得更好


来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。

从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351 个 (93.4%) 已被修复、14 个 (3.7%) 被供应商标记为 WontFix 、11 个 (2.9%) 仍未修复。在公告发布时,已有时 8 个超过了修复期限;其余 3 个仍处于修复期限内。大多数漏洞集中在少数供应商那里,有 96 个漏洞 (26%) 被报告给微软,85 个 (23%) 报告给苹果,60 个 (16%) 报告给了谷歌。

Project Zero 为供应商提供了 90 天的标准期限以及 14 天的宽限时间来解决安全问题。研究发现,开源程序员平均只用 25 天就修复了 Linux 问题。与此同时,苹果则花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天来修复了漏洞。排在最后的是微软 83 天,和甲骨文 109 天(尽管只有少数几个安全问题)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等开源组织和公司,以 44 天的时间排在前列。 

总的来说,整体修复时间一直在减少,但在 2019 年和 2020 年之间最为明显。在此期间,微软、苹果和 Linux 整体上减少了他们的修复时间,Linux 从 2019 年的 32 天发展到了 2021 年的仅 15 天。而谷歌在 2020 年加快了速度,然后在 2021 年再次放缓。2021 年,供应商平均需要 52 天来修复报告的安全漏洞。

除了发现 2021 年的平均值远低于 90 天的最后期限外,该团队还发现错过最后期限或额外的 14 天宽限期的供应商数量也有所下降。 去年只有一个 Google Android 安全问题超过了修复期限,其他两年平均每年 9 个;宽限期共使用了 9 次(尤其是微软使用了一半),略低于其他年份的 12.5 次平均值。

移动操作系统方面,苹果 iOS(平均 70 天)比谷歌 Android 系统(平均 72 天)发布补丁的速度要更快。但另一方面,iOS 包含有 72 个 bug,远多于 Android 的 10 个问题。

浏览器问题也正在以更快的速度得到解决。Chrome 平均不到 30 天就解决了 40 个问题,Mozilla Firefox 仅有 8 个安全漏洞,平均 37.8 天就能修复。Webkit 是 Apple 的 Web 浏览器引擎,主要由 Safari 使用;Webkit 的程序员平均需要超过 72 天的时间来修复 bug。

研究指出,与过去几年相比,所有人在修复漏洞方面都做得更好了。这或许是因为负责任的披露政策已成为行业事实上的标准,供应商更有能力对不同期限的报告做出快速反应。且随着透明度的提高,公司也一直在相互学习最佳实践。qwephp认为,这在很大程度上归功于开源开发方法的发展,人们意识到一起修复 bug 对每个人都有好处。 


相關推薦

2023-10-09

钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已经为最近被攻击利用的libwebp安全漏洞分配了新的最高CVE编号(CVE-2023-5129)。这个零日漏洞在两周前修补过。【V

2023-02-15

谷歌和 Mozilla 都在开发不使用WebKit 引擎的 iOS 浏览器,而根据苹果当前的 App Store 政策,iOS 浏览器应用程序必须使用系统内置的 WebKit 引擎。因此,这些正在开发的 iOS 浏览器目前无法通过 iOS App Store 进行分发。 当下主流的浏览

2023-10-27

谷歌、微软、OpenAI 和 Anthropic 发布联合声明,任命美国智库学会高管 Chris Meserole 为前沿模型论坛 (Frontier Model Forum) 首任执行董事。并宣布设立 1000 万美元的 AI 安全基金,“以推动正在进行的工具开发研究,帮助社会能够有效地

2022-03-14

常见。 过去几年,随着监管机构在竞争问题上向苹果和谷歌施压,这些顶级浏览器制造商之间才开始频繁合作,而不是专注于搞自家浏览器的专属功能。2019 年谷歌和微软合作发起过一个名为 的 Web 兼容性标准,该标准促进了&n

2022-08-24

代码执行 (RCE)。 微软的一名研究人员在今年 4 月下旬向谷歌报告了该漏洞。谷歌将其分配为 CVE-2022-2587,CVSS 得分 9.8(程度归类为严重)并描述为越界写入,相关补丁已在 6 月发布。 ChromeOS 是一个使用 D-Bus 的操作系统。由于

2023-07-14

原生计算基金会 (CNCF) 宣布 Istio 毕业。Istio 是一个由谷歌、IBM 和 Lyft 的团队于 2016 年开始合作开发的开源项目,在 2017 年正式推出;它是一个大型微服务系统管理工具,旨在提供一种统一化的微服务连接、安全保障、管理与

2022-10-27

Agones 是谷歌和游戏厂商育碧联合开发的游戏服务器,用于在 Kubernetes 上托管、运行和扩展专用游戏服务器。 目前,Agones V1.27.0 发布了,此版本的 Agones 从 Go 1.17 升级到 Go 1.19,并带来其他改进: 默认情况下,在 GKE 上启用图

2023-04-22

纽约时报》的报道,面对来自微软和 OpenAI 的竞争压力,谷歌正在积极开发由人工智能技术驱动的全新搜索引擎「Magi」,以及使用人工智能技术对现有的搜索引擎进行升级。 报道指出,三星正在考虑用微软的 Bing 取代 Google 作

2023-04-01

不太可能对人工智能研究的当前氛围产生任何影响。因为谷歌和微软等科技公司急于部署新产品,往往会把一些对安全和道德的担忧视而不见。但这也表明,越来越多的人反对现在这种“ship it now and fix it later”的方法;这种反

2022-09-28

浏览器的选择权和控制权。 Mozilla 在报告中指出,包括谷歌、亚马逊、Facebook、苹果和微软在内的“巨头”构建了各自的「围墙花园」 (Walled Garden),他们通过各种方式引导用户使用各自平台的默认浏览器。这些行为包括限制发

2023-06-28

谷歌旗下研究实验室 DeepMind 的首席执行官 Demis Hassabis 向《连线》杂志表示,他们的工程师正在使用 AlphaGo 技术来开发一个名为 Gemini 的人工智能系统,比 OpenAI ChatGPT 背后的系统更为强大。 Gemini 本质上与 GPT-4 类似,是一个可以

2022-05-07

周四是世界密码日,就在这天,谷歌安全身份验证 PM 总监 Sampath Srinivas在一篇博客中宣布:“谷歌很快就会在 Android 和 Chrome 中实现 FIDO 无密码功能支持”,苹果和微软也声称将为其Windows、iOS、Edge 等主流平台提供 FIDO 无

2022-05-13

Agones 是谷歌和游戏厂商育碧联合开发的游戏服务器,用于在 Kubernetes 上托管、运行和扩展专用游戏服务器。 目前,Agones V1.23.0 发布了,此版本引入了对在使用 ARM 架构的 linux 机器上运行游戏服务器的初步支持。同时带来了对 Ku

2024-06-25

到最近发布的 AI 系统 Apple Intelligence 中进行了讨论。除了谷歌和 Meta 之外, AI 初创公司 Anthropic 和 Perplexity 也在与苹果进行讨论,希望将其生成式 AI 引入 Apple Intelligence。 但谈判尚未最终敲定,仍存在失败的可能性。在本月初