新聞

Linux快很多! Google 資安團隊提軟硬體與作業系統業者修補資安漏洞平均速度

2022 / 02 / 22
編輯部
Linux快很多! Google 資安團隊提軟硬體與作業系統業者修補資安漏洞平均速度
Google 旗下的資安研究團隊 Project Zero,日前發表一分針對市場主流作業系統、軟硬體業者修補該單位提報資安漏洞所需時間的統計報告;報告中指出 Linux 開發者推出資安修補所需日數是最短的,平均為15 日。

在這份報告中,Project Zero 統計了 2021 年各大主流作業系統暨軟硬體廠商,針對該單位發現並提報的資安漏洞,推出修補更新所需的日數。首先,各廠商推出修補的平均所需日數為 52 日,較三年前的 80 日大幅加速,顯見各廠商對資安漏洞的修補更加重視,並投入了大量資源。

報告中說,Project Zero 在 2019 到 2021 年間,一共向各廠商提報多達 376 個資安漏洞,並要求這些廠商按該單位設立的標準(90 日)內修復漏洞;其中有 351 個(93.4%)獲得修復、14 個(3.7%)被廠商回報列為不予修復(won’t fix)、11 個(2.9%)從未修復。

從漏洞修復的速度來看,這三年來各大廠商修復漏洞的速度多半都有加快,從 2019 年到 2021 年所需日數如下所示:
  • Apple:71 天 63 天 64 天;
  • Microsoft:85 天 87 天 76 天;
  • Google:49 天 22 天 53 天;
  • Linux:32 天 22 天 15 天;
  • 其他:63 天 54 天29 天。
而在未能於 90 日內修復提報漏洞的比例來看,近三年來比例最高的是 Oracle,有高達 57% 的漏洞都未能於 90 日再加 14 天最後期限的 104 日內修復;而 Apple 與 Micrsoft 則有 5%、Linux 有 4%、Google 有 2%,其他為 7%。

本文轉載自TWCERT/CC。