來自谷歌安全研究團(tuán)隊(duì) Project Zero 的研究表明，Linux 開發(fā)者在修復(fù)安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。

從 2019 年到 2021 年，Project Zero 在標(biāo)準(zhǔn)的 90 天期限內(nèi)共向供應(yīng)商報告了 376 個問題。這些 bug 中的 351 個 (93.4%) 已被修復(fù)、14 個 (3.7%) 被供應(yīng)商標(biāo)記為 WontFix 、11 個 (2.9%) 仍未修復(fù)。在公告發(fā)布時，已有時 8 個超過了修復(fù)期限;其余 3 個仍處于修復(fù)期限內(nèi)。大多數(shù)漏洞集中在少數(shù)供應(yīng)商那里，有 96 個漏洞 (26%) 被報告給微軟，85 個 (23%) 報告給蘋果，60 個 (16%) 報告給了谷歌。

Project Zero 為供應(yīng)商提供了 90 天的標(biāo)準(zhǔn)期限以及 14 天的寬限時間來解決安全問題。研究發(fā)現(xiàn)，開源程序員平均只用 25 天就修復(fù)了 Linux 問題。與此同時，蘋果則花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天來修復(fù)了漏洞。排在最后的是微軟 83 天，和甲骨文 109 天(盡管只有少數(shù)幾個安全問題)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等開源組織和公司，以 44 天的時間排在前列。

總的來說，整體修復(fù)時間一直在減少，但在 2019 年和 2020 年之間最為明顯。在此期間，微軟、蘋果和 Linux 整體上減少了他們的修復(fù)時間，Linux 從 2019 年的 32 天發(fā)展到了 2021 年的僅 15 天。而谷歌在 2020 年加快了速度，然后在 2021 年再次放緩。2021 年，供應(yīng)商平均需要 52 天來修復(fù)報告的安全漏洞。

除了發(fā)現(xiàn) 2021 年的平均值遠(yuǎn)低于 90 天的最后期限外，該團(tuán)隊(duì)還發(fā)現(xiàn)錯過最后期限或額外的 14 天寬限期的供應(yīng)商數(shù)量也有所下降。 去年只有一個 Google Android 安全問題超過了修復(fù)期限，其他兩年平均每年 9 個;寬限期共使用了 9 次(尤其是微軟使用了一半)，略低于其他年份的 12.5 次平均值。

移動操作系統(tǒng)方面，蘋果 iOS(平均 70 天)比谷歌 Android 系統(tǒng)(平均 72 天)發(fā)布補(bǔ)丁的速度要更快。但另一方面，iOS 包含有 72 個 bug，遠(yuǎn)多于 Android 的 10 個問題。

瀏覽器問題也正在以更快的速度得到解決。Chrome 平均不到 30 天就解決了 40 個問題，Mozilla Firefox 僅有 8 個安全漏洞，平均 37.8 天就能修復(fù)。Webkit 是 Apple 的 Web 瀏覽器引擎，主要由 Safari 使用;Webkit 的程序員平均需要超過 72 天的時間來修復(fù) bug。

研究指出，與過去幾年相比，所有人在修復(fù)漏洞方面都做得更好了。這或許是因?yàn)樨?fù)責(zé)任的披露政策已成為行業(yè)事實(shí)上的標(biāo)準(zhǔn)，供應(yīng)商更有能力對不同期限的報告做出快速反應(yīng)。且隨著透明度的提高，公司也一直在相互學(xué)習(xí)最佳實(shí)踐。ZDNet 認(rèn)為，這在很大程度上歸功于開源開發(fā)方法的發(fā)展，人們意識到一起修復(fù) bug 對每個人都有好處。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：谷歌研究：Linux 在修補(bǔ)漏洞方面比蘋果、谷歌和微軟做得更好

本文地址：https://www.oschina.net/news/183323