Google 安全團(tuán)隊(duì) Project Zero 近日分享了過(guò)去幾年安全研究的統(tǒng)計(jì)數(shù)據(jù)，在 2019 年 1 月至 2021 年 12 月期間，團(tuán)隊(duì)共計(jì)報(bào)告了 376 個(gè)漏洞，期限為 90 天。其中 351 個(gè)(93.4%)已被修復(fù)，14 個(gè)(3.7%)被供應(yīng)商標(biāo)記為“WontFix”，11 個(gè)(2.9%)仍未修復(fù)。然而，在最后一類中，有 3 個(gè)仍在 90 天的期限內(nèi)。

在所有被發(fā)現(xiàn)的漏洞中，微軟產(chǎn)品中檢測(cè)到了 96 個(gè)(26%)，蘋(píng)果檢測(cè)到了 85 個(gè)(23%)，而 Google 自己檢測(cè)到了 60 個(gè)(16%)。具體數(shù)據(jù)如下：

從上面可以看出，供應(yīng)商的情況都有積極的變化。然而，有趣的是，在 2021 年，寬限期被要求了 9 次，其中一半是由微軟提出的。

在移動(dòng)方面，iOS 有 76 個(gè) BUG 被報(bào)告，三星產(chǎn)品有 10 個(gè)，Pixels 有 6 個(gè)。iOS 的平均修復(fù)時(shí)間為 70 天，而其他兩個(gè)品牌為 72 天。如果你想知道為什么在iOS上檢測(cè)到如此多的安全缺陷，這是因?yàn)樘O(píng)果將大量的應(yīng)用程序作為操作系統(tǒng)的一部分，而 Android 的應(yīng)用程序更新主要是通過(guò) Google Play 管理，所以不屬于操作系統(tǒng)級(jí)別的缺陷。

在瀏覽器方面，Chrome 有 40 個(gè) BUG，蘋(píng)果的 WebKit 有 27 個(gè) BUG，F(xiàn)irefox 有 8 個(gè) BUG。WebKit 修補(bǔ)缺陷的速度最慢，為72天，Chrome 為30天，而 Firefox 為 38 天。

Google Project Zero 指出：

總的來(lái)說(shuō)，我們看到數(shù)據(jù)中出現(xiàn)了一些有希望的趨勢(shì)。供應(yīng)商正在修復(fù)他們收到的幾乎所有的 BUG，而且他們通常在 90 天的期限內(nèi)完成，必要時(shí)還有14天的寬限期。在過(guò)去的三年里，供應(yīng)商在大多數(shù)情況下都加快了他們的補(bǔ)丁，有效地將整個(gè)平均修復(fù)時(shí)間減少到約52天。

在2021年，只有一個(gè) 90 天的期限被超過(guò)。我們懷疑這種趨勢(shì)可能是由于負(fù)責(zé)任的披露政策已經(jīng)成為行業(yè)的事實(shí)標(biāo)準(zhǔn)，供應(yīng)商更有能力對(duì)不同期限的報(bào)告做出快速反應(yīng)。我們還懷疑，由于行業(yè)的透明度越來(lái)越高，供應(yīng)商已經(jīng)從彼此那里學(xué)到了最佳做法。

一個(gè)重要的注意事項(xiàng)：我們知道，與其他錯(cuò)誤報(bào)告相比，來(lái)自Project Zero的報(bào)告可能是異常值，因?yàn)樗鼈兛赡軙?huì)得到更快的行動(dòng)，因?yàn)榇嬖谥_(kāi)披露的實(shí)際風(fēng)險(xiǎn)(因?yàn)槿绻詈笃谙迼l件沒(méi)有得到滿足，團(tuán)隊(duì)就會(huì)披露)，而且Project Zero是可靠的錯(cuò)誤報(bào)告的可信來(lái)源。

我們鼓勵(lì)供應(yīng)商發(fā)布指標(biāo)，即使是高水平的指標(biāo)，以便更好地全面了解整個(gè)行業(yè)安全問(wèn)題的修復(fù)速度，并繼續(xù)鼓勵(lì)其他安全研究人員分享他們的經(jīng)驗(yàn)。