Google 旗下的資安研究團隊 Project Zero,日前發表一分針對市場主流作業系統、軟硬體業者修補該單位提報資安漏洞所需時間的統計報告;報告中指出 Linux 開發者推出資安修補所需日數是最短的,平均為15 日。
在這份報告中,Project Zero 統計了 2021 年各大主流作業系統暨軟硬體廠商,針對該單位發現並提報的資安漏洞,推出修補更新所需的日數。首先,各廠商推出修補的平均所需日數為 52 日,較三年前的 80 日大幅加速,顯見各廠商對資安漏洞的修補更加重視,並投入了大量資源。
報告中說,Project Zero 在 2019 到 2021 年間,一共向各廠商提報多達 376 個資安漏洞,並要求這些廠商按該單位設立的標準(90 日)內修復漏洞;其中有 351 個(93.4%)獲得修復、14 個(3.7%)被廠商回報列為不予修復(won’t fix)、11 個(2.9%)從未修復。
從漏洞修復的速度來看,這三年來各大廠商修復漏洞的速度多半都有加快,從 2019 年到 2021 年所需日數如下所示:
- Apple:71 天→ 63 天→ 64 天;
- Microsoft:85 天 →87 天 →76 天;
- Google:49 天 →22 天 →53 天;
- Linux:32 天 →22 天 →15 天;
- 其他:63 天 →54 天→29 天。
而在未能於 90 日內修復提報漏洞的比例來看,近三年來比例最高的是 Oracle,有高達 57% 的漏洞都未能於 90 日再加 14 天最後期限的 104 日內修復;而 Apple 與 Micrsoft 則有 5%、Linux 有 4%、Google 有 2%,其他為 7%。
本文轉載自TWCERT/CC。