O Project Zero é uma equipe de segurança do Google encarregada de encontrar falhas de segurança nos próprios produtos da empresa, bem como em produtos criados por outros fornecedores. Ao descobrir esse problema, ele o relata de forma privada aos fornecedores, dando-lhes 90 dias para corrigir a vulnerabilidade antes que ela se torne pública. Dependendo da complexidade da correção, um período de carência também pode ser concedido. Cobrimos extensivamente as descobertas da equipe sobre o Neowin no passado. Hoje, o Google compartilhou algumas estatísticas de sua pesquisa nos últimos dois anos.
Entre janeiro de 2019 e dezembro de 2021, o Project Zero reportou 376 problemas com prazo de 90 dias. Destes, 351 (93,4%) foram corrigidos, 14 (3,7%) foram sinalizados como “WontFix” pelos fornecedores e 11 (2,9%) ainda estão abertos. No entanto, da última categoria, três ainda estão dentro do prazo de 90 dias.
Curiosamente, 96 (26%) dos bugs encontrados foram em produtos da Microsoft, 85 (23%) na Apple e 60 (16%) no Google. A Oracle superou a maioria dos prazos e a Microsoft ficou em segundo lugar. Quanto ao tempo que os principais fornecedores levam para corrigir por ano, você pode verificar o detalhamento por ano abaixo:
Vendedor | Média de dias para corrigir bugs em 2019 | Média de dias para corrigir bugs em 2020 | Média de dias para corrigir bugs em 2021 |
---|---|---|---|
maçã | 71 | 63 | 64 |
Microsoft | 85 | 87 | 76 |
o Google | 49 | 22 | 53 |
Linux | 32 | 22 | 15 |
Como pode ser visto acima, há desenvolvimentos positivos para os fornecedores em geral. No entanto, é interessante ver que o período de carência foi solicitado nove vezes em 2021, sendo metade delas solicitadas pela Microsoft.
No celular, 76 bugs foram relatados para iOS, 10 para produtos Samsung e 6 para Pixel. O tempo médio de correção para iOS foi de 70 dias, enquanto os outros dois foram de 72. Se você está se perguntando por que existem tantas falhas de segurança encontradas no iOS, é porque a Apple envia muitos aplicativos como parte do sistema operacional, enquanto as atualizações de aplicativos O Android é gerenciado principalmente pelo Google Play, portanto, não é coberto pelo sistema operacional. defeitos de nível.
Para o navegador, havia 40 bugs no Chrome, 27 no WebKit da Apple e 8 no Firefox. O WebKit foi o mais lento para corrigir as falhas que ocorreram em 72 dias, o Chrome foi de 30 dias e o Firefox foi de 38 dias.
O Google Project Zero observou que:
No geral, vemos uma série de tendências promissoras emergindo dos dados. Os fornecedores corrigem quase todos os bugs que recebem e geralmente o fazem dentro de um prazo de 90 dias, mais um período de carência de 14 dias, quando necessário. Nos últimos três anos, os fornecedores, em sua maioria, aceleraram o lançamento de patches, reduzindo efetivamente o tempo médio geral de patch para cerca de 52 dias. Em 2021, apenas um prazo de 90 dias foi ultrapassado. Suspeitamos que essa tendência pode ser devido ao fato de que as políticas de divulgação responsável se tornaram o padrão de fato no setor, e os fornecedores são mais capazes de responder rapidamente a relatórios com prazos diferentes. Também suspeitamos que os fornecedores adotaram as melhores práticas uns dos outros à medida que a transparência aumentou na indústria.
Uma ressalva importante: entendemos que os relatórios do Project Zero podem diferir de outros relatórios de bugs, pois podem ser processados mais rapidamente, pois há um risco percebido de divulgação pública (como a equipe dirá se as condições do prazo não forem atendidas). e o Project Zero é uma fonte confiável para relatórios de bugs confiáveis. Incentivamos os fornecedores a publicar métricas, mesmo que sejam de alto nível, para dar uma ideia melhor da rapidez com que os problemas de segurança do setor estão sendo resolvidos, e continuamos incentivando outros pesquisadores de segurança a compartilhar suas experiências.
A equipe do Project Zero observou que a Microsoft está demorando muito para corrigir os bugs porque normalmente depende da frequência de atualização de patches de terça-feira. No entanto, ele espera que a Microsoft possa descobrir uma maneira melhor e mais inteligente de lançar atualizações de segurança mais rapidamente. A equipe de segurança do Project Zero tem as mesmas esperanças e recomendações para o patch de segurança do Android. Mais detalhes interessantes você encontra aqui .
Deixe um comentário