谷歌安全团队ProjectZero最近分享了过去几年安全研究的统计数据。2019年1月至2021年12月期间,团队共报告漏洞376个,周期90天。其中,351个(93.4%)已修复,14个(3.7%)被供应商标记为“WontFix”,11个(2.9%)仍未修复。然而,在最后一类中,有三个仍在90天期限内。在所有发现的漏洞中,96个(26%)是在Microsoft产品中检测到的,85个(23%)是由Apple检测到的,60个(16%)是由谷歌自己检测到的。具体数据如下:从以上可以看出,供应商的情况发生了积极的变化。然而有趣的是,在2021年,宽限期被要求九次,其中一半是微软提出的。在移动端,iOS报告了76个错误,三星产品报告了10个,Pixels报告了6个。iOS的平均修复时间为70天,而其他两个品牌为72天。如果你想知道为什么在iOS上检测到这么多安全漏洞,那是因为Apple将大量应用程序作为操作系统的一部分,而Android的应用程序更新主要通过GooglePlay进行管理,因此它们不是操作系统级别的缺陷。浏览器方面,Chrome有40个bug,苹果的WebKit有27个,Firefox有8个。WebKit修复缺陷的时间最慢,为72天,Chrome为30天,Firefox为38天。谷歌零项目笔记:总的来说,我们看到数据中出现了一些有希望的趋势。供应商几乎修复了他们收到的每一个错误,他们通常会在90天的期限内修复,必要时还有14天的宽限期。在过去三年中,供应商在大多数情况下都加快了补丁速度,有效地将总体平均修复时间缩短至约52天。2021年,只有一个90天的期限被超过。我们怀疑这种趋势可能是由于负责任的披露政策已成为行业事实上的标准,并且供应商能够更好地快速响应不同截止日期的报告。我们还怀疑,由于行业透明度的提高,供应商已经相互学习了最佳实践。重要说明:我们知道,与其他错误报告相比,零项目的报告可能是异常值,因为由于公开披露的真正风险(因为如果不满足截止日期条件,团队会披露),它们可能会更快地采取行动,并且项目Zero是可靠错误报告的可靠来源。我们鼓励供应商发布指标,即使是高级别的指标,以更好地全面了解整个行业解决安全问题的速度,并继续鼓励其他安全研究人员分享他们的经验。
