根据谷歌的零日项目报告,组织正在以比去年更快的速度解决零日漏洞。软件供应商平均需要52天才能解决零个项目报告的漏洞,而三年前的平均时间约为80天。好消息是修复漏洞的平均时间远低于90天的最后期限,研究人员还观察到错过最后期限(或额外的14天宽限期)的供应商数量显着减少。谷歌零项目研究人员报告说,在2021年,只有一个供应商超过截止日期的案例,而14%的错误需要宽限期。“在2019年和2021年之间,零号计划在我们标准的90天期限内向供应商报告了376个问题。其中351个(93.4%)错误已修复,而14个(3.7%)由供应商修复。)被标记为WontFix.其他11个(2.9%)错误仍未修复,尽管8个在撰写本文时已超过修复期限;其余3个仍在修复期限内。”阅读谷歌发布的报告。“大多数错误都集中在少数供应商周围,向Microsoft(26%)报告了96个错误,向Apple(23%)报告了85个,向Google(16%)报告了60个。”下表包括自2019年1月起,零号计划在90天内向供应商报告并修复了所有漏洞。Linux、Mozilla和谷歌是解决漏洞最有效的组织,而甲骨文、微软和三星是最差的。GoogleProjectZero还分析了移动操作系统的零日指标,iOS和Android修复漏洞的平均时间相似,平均修复时间分别为70天和72天。“首先要注意的是,这段时间iOS似乎比任何版本的Android都收到了来自零号计划的错误报告,但这并不是研究对象选择的不平衡,更多的是反映了Apple的方式iMessage、Facetime和Safari/WebKit等“应用程序”的安全更新作为操作系统更新的一部分提供,因此我们将这些更新包含在我们对操作系统的分析中。另一方面,Android安全更新GooglePlay商店中独立应用程序的修复不包括在该分析中。尽管如此,所有三个供应商的平均修复时间都非常相似。”在处理网络浏览器时,Chrome的平均Bug修复耗时最短,为29.9天,而WebKit漏洞平均耗时72.7天。“在过去三年中,供应商大大加快了修补速度,有效地将总体平均修复时间缩短至大约52天。2021年,仅超过了一个90天的最后期限。”这种趋势可能是由于负责任的披露政策已成为行业事实上的标准,供应商能够更好地快速响应不同截止日期的报告。供应商相互学习最佳实践,行业变得更加透明。
