谷歌研究:Linux在修补漏洞方面比苹果、谷歌和微软做得更好。从2019年到2021年,零计划在标准的90天内向供应商报告了总共376个问题。这些错误中有351个(93.4%)已修复,14个(3.7%)被供应商标记为WontFix,还有11个(2.9%)未修复。在发布公告时,8个已超过修复截止日期;其余3个仍在修复期限内。大多数漏洞集中在少数供应商中,其中96个漏洞(26%)报告给了Microsoft,85个(23%)报告给了Apple,60个(16%)报告给了Google。零项目为供应商提供了标准的90天期限和14天的宽限期来解决安全问题。研究发现,开源程序员平均只用25天就解决了Linux问题。与此同时,苹果用了69天,谷歌用了44天,Mozilla用了46天来修复这个漏洞。排在最后的是微软,有83天,甲骨文有109天(尽管只有几个安全问题)。其他主要包括Apache、Canonical、Github、Kubernetes等开源组织和公司,以44天排名前列。总体而言,整体修复时间一直在减少,但在2019年到2020年间最为明显。这段时间,微软、苹果和Linux整体修复时间都减少了,其中Linux从2019年的32天减少到仅15天2021年。谷歌在2020年加快了速度,然后在2021年再次放缓。到2021年,供应商平均需要52天才能修复报告的安全漏洞。除了发现2021年的平均值远低于90天的截止日期外,该团队还发现错过截止日期或有额外14天宽限期的供应商数量有所下降。去年只有一个谷歌Android安全问题逾期未修复,而其他两年平均每年有9个;宽限期总共被使用了9次(微软尤其使用了一半),略低于其他年份的平均12.5次。对于移动操作系统,AppleiOS(平均70天)发布补丁的速度比GoogleAndroid(平均72天)快。另一方面,iOS包含72个错误,远远超过Android的10个问题。浏览器问题也正在以更快的速度得到解决。Chrome平均在不到30天内修复了40个问题,而MozillaFirefox平均在37.8天内修复了8个安全漏洞。Webkit是Apple的网络浏览器引擎,主要用于Safari;Webkit程序员平均需要72天以上的时间来修复错误。该研究指出,与过去几年相比,所有人都在修补漏洞方面做得更好。这可能是因为负责任的披露政策已经成为行业事实上的标准,供应商更有能力快速响应不同截止日期的报告。随着透明度的提高,公司一直在相互学习最佳实践。ZDNet认为,这在很大程度上要归功于开源开发方式的发展,人们意识到一起修复bug对每个人都有好处。本文转自OSCHINA文章标题:谷歌研究:Linux在修补漏洞方面优于苹果、谷歌和微软本文地址:https://www.oschina.net/news/183323
