聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
去年,硬件和软件厂商平均花费52天修复一个安全缺陷,大大低于90天的最后期限,比两年前的中位数80天也低。只有一个 bug 的平均修复耗时超过最后期限,14%的漏洞在修复方案发布前要求获得14天的宽限期。
Project Zero 团队成员 Ryan Schoen 表示,“我们认为这一趋势可能是因为负责任的披露策略已成为行业实践标准、以及厂商有能力快速应对漏洞报告促成的。我们还认为厂商得益于行业透明度提升,已互相学习最佳实践。”
不过,Schoen 提醒称,Project Zero 提交的漏洞报告得到快速处理是例外,“因为这些漏洞报告得到更快处理是因为存在实实在在的公开披露风险(如果最后期限条件不满足则报告遭公开),以及 Project Zero 是一个值得信任的可靠漏洞报告来源。”
2019年、2020年和2021年,Project Zero 团队共向厂商报告了376个漏洞,其中351(93.4%)个漏洞得到修复,厂商拒绝修复14个 (3.7%)个bug。” Linux 修复一个漏洞的平均耗时是25天,其次是谷歌(44天)、Mozilla(46天)。修复速度最慢的是 Oracle (109天,不过样本量为7个bug)、其次是微软(83天)和三星(72天)。
在三大开源浏览器中,Chrome 修复速度最快,为30天,其次是Firefox(38天)和 Safari(73天)。Project Zerto 团队赞赏了谷歌推出的快速发布周期以及为其它稳定版本推出的安全更新,以及谷歌最近从六周的发布周期降低到四周。
谷歌Project Zerto 团队指出,苹果修复漏洞的速度也在加快,但WebKit补丁从推出到交付给用户耗时过长,导致“机会主义攻击者有大量时间找到补丁并在用户应用修复方案前利用。” 报告还提到,微软缓慢的修复速度是因为固定的每月星期二造成的。
谷歌还指出,2021年共通过其漏洞奖励计划(VRPs)向研究员发放创纪录的870万美元赏金。Chrome VRP 不仅覆盖了谷歌 Chrome 安全,还覆盖了基于 Chromium 上的其它多个浏览器,为333个漏洞报告支付了330万美元赏金,最高赏金是为发现 Chrome OS 漏洞的研究员发放4.5万美元赏金。
安卓VRP 支付赏金近300万美元,是2020年的两倍,其中颁发了史上最高赏金15.7万美元。
道德黑客共向慈善基金会捐赠超过30万美元。
https://portswigger.net/daily-swig/google-project-zero-hails-dramatic-acceleration-in-security-bug-remediation
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):谷歌:修复0day漏洞的平均耗时比3年前减少28天
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论