Google 安全團(tuán)隊(duì) Project Zero 近日分享了過去幾年安全研究的統(tǒng)計(jì)數(shù)據(jù)，在 2019 年 1 月至 2021 年 12 月期間，團(tuán)隊(duì)共計(jì)報(bào)告了 376 個漏洞，期限為 90 天。 其中 351 個（93.4%）已被修復(fù)，14 個（3.7%）被供應(yīng)商標(biāo)記為“WontFix”，11 個（2.9%）仍未修復(fù)。然而，在最后一類中，有 3 個仍在 90 天的期限內(nèi)。

在所有被發(fā)現(xiàn)的漏洞中， 微軟 產(chǎn)品中檢測到了 96 個（26%）， 蘋果 檢測到了 85 個（23%），而 Google 自己檢測到了 60 個（16%）。

從上面可以看出，供應(yīng)商的情況都有積極的變化。然而，有趣的是，在 2021 年，寬限期被要求了 9 次，其中一半是由微軟提出的。

在移動方面，iOS 有 76 個 BUG 被報(bào)告， 三星 產(chǎn)品有 10 個，Pixels 有 6 個。iOS 的平均修復(fù)時(shí)間為 70 天，而其他兩個品牌為 72 天。如果你想知道為什么在iOS上檢測到如此多的安全缺陷，這是因?yàn)樘O果將大量的應(yīng)用程序作為操作系統(tǒng)的一部分，而 Android 的應(yīng)用程序更新主要是通過 Google Play 管理，所以不屬于操作系統(tǒng)級別的缺陷。

在瀏覽器方面，Chrome 有 40 個 BUG，蘋果的 WebKit 有 27 個 BUG，F(xiàn)irefox 有 8 個 BUG。WebKit 修補(bǔ)缺陷的速度最慢，為72天，Chrome 為30天，而 Firefox 為 38 天。

Google Project Zero 指出：總的來說，我們看到數(shù)據(jù)中出現(xiàn)了一些有希望的趨勢。供應(yīng)商正在修復(fù)他們收到的幾乎所有的 BUG，而且他們通常在 90 天的期限內(nèi)完成，必要時(shí)還有14天的寬限期。在過去的三年里，供應(yīng)商在大多數(shù)情況下都加快了他們的補(bǔ)丁，有效地將個平均修復(fù)時(shí)間減少到約52天。在2021年，只有一個 90 天的期限被超過。我們懷疑這種趨勢可能是由于負(fù)責(zé)任的披露政策已經(jīng)成為行業(yè)的事實(shí)標(biāo)準(zhǔn)，供應(yīng)商更有能力對不同期限的報(bào)告做出快速反應(yīng)。我們還懷疑，由于行業(yè)的透明度越來越高，供應(yīng)商已經(jīng)從彼此那里學(xué)到了最佳做法。一個重要的注意事項(xiàng)：我們知道，與其他錯誤報(bào)告相比，來自Project Zero的報(bào)告可能是異常值，因?yàn)樗鼈兛赡軙玫礁斓男袆?，因?yàn)榇嬖谥_披露的實(shí)際風(fēng)險(xiǎn)（因?yàn)槿绻詈笃谙迼l件沒有得到滿足，團(tuán)隊(duì)就會披露），而且Project Zero是可靠的錯誤報(bào)告的可信來源。我們鼓勵供應(yīng)商發(fā)布指標(biāo)，即使是高水平的指標(biāo)，以便更好地全面了解整個行業(yè)安全問題的修復(fù)速度，并繼續(xù)鼓勵其他安全研究人員分享他們的經(jīng)驗(yàn)。

【來源：cnBeta.COM】

關(guān)鍵詞：