來(lái)自谷歌安全研究團(tuán)隊(duì) Project Zero 的研究表明，Linux 開(kāi)發(fā)者在修復(fù)安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。

從 2019 年到 2021 年，Project Zero 在標(biāo)準(zhǔn)的 90 天期限內(nèi)共向供應(yīng)商報(bào)告了 376 個(gè)問(wèn)題。這些 bug 中的 351 個(gè) (93.4%) 已被修復(fù)、14 個(gè) (3.7%) 被供應(yīng)商標(biāo)記為 WontFix 、11 個(gè) (2.9%) 仍未修復(fù)。在公告發(fā)布時(shí)，已有時(shí) 8 個(gè)超過(guò)了修復(fù)期限;其余 3 個(gè)仍處于修復(fù)期限內(nèi)。大多數(shù)漏洞集中在少數(shù)供應(yīng)商那里，有 96 個(gè)漏洞 (26%) 被報(bào)告給微軟，85 個(gè) (23%) 報(bào)告給蘋(píng)果，60 個(gè) (16%) 報(bào)告給了谷歌。

Project Zero 為供應(yīng)商提供了 90 天的標(biāo)準(zhǔn)期限以及 14 天的寬限時(shí)間來(lái)解決安全問(wèn)題。研究發(fā)現(xiàn)，開(kāi)源程序員平均只用 25 天就修復(fù)了 Linux 問(wèn)題。與此同時(shí)，蘋(píng)果則花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天來(lái)修復(fù)了漏洞。排在最后的是微軟 83 天，和甲骨文 109 天(盡管只有少數(shù)幾個(gè)安全問(wèn)題)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等開(kāi)源組織和公司，以 44 天的時(shí)間排在前列。

總的來(lái)說(shuō)，整體修復(fù)時(shí)間一直在減少，但在 2019 年和 2020 年之間最為明顯。在此期間，微軟、蘋(píng)果和 Linux 整體上減少了他們的修復(fù)時(shí)間，Linux 從 2019 年的 32 天發(fā)展到了 2021 年的僅 15 天。而谷歌在 2020 年加快了速度，然后在 2021 年再次放緩。2021 年，供應(yīng)商平均需要 52 天來(lái)修復(fù)報(bào)告的安全漏洞。

除了發(fā)現(xiàn) 2021 年的平均值遠(yuǎn)低于 90 天的最后期限外，該團(tuán)隊(duì)還發(fā)現(xiàn)錯(cuò)過(guò)最后期限或額外的 14 天寬限期的供應(yīng)商數(shù)量也有所下降。 去年只有一個(gè) Google Android 安全問(wèn)題超過(guò)了修復(fù)期限，其他兩年平均每年 9 個(gè);寬限期共使用了 9 次(尤其是微軟使用了一半)，略低于其他年份的 12.5 次平均值。

移動(dòng)操作系統(tǒng)方面，蘋(píng)果 iOS(平均 70 天)比谷歌 Android 系統(tǒng)(平均 72 天)發(fā)布補(bǔ)丁的速度要更快。但另一方面，iOS 包含有 72 個(gè) bug，遠(yuǎn)多于 Android 的 10 個(gè)問(wèn)題。

瀏覽器問(wèn)題也正在以更快的速度得到解決。Chrome 平均不到 30 天就解決了 40 個(gè)問(wèn)題，Mozilla Firefox 僅有 8 個(gè)安全漏洞，平均 37.8 天就能修復(fù)。Webkit 是 Apple 的 Web 瀏覽器引擎，主要由 Safari 使用;Webkit 的程序員平均需要超過(guò) 72 天的時(shí)間來(lái)修復(fù) bug。

研究指出，與過(guò)去幾年相比，所有人在修復(fù)漏洞方面都做得更好了。這或許是因?yàn)樨?fù)責(zé)任的披露政策已成為行業(yè)事實(shí)上的標(biāo)準(zhǔn)，供應(yīng)商更有能力對(duì)不同期限的報(bào)告做出快速反應(yīng)。且隨著透明度的提高，公司也一直在相互學(xué)習(xí)最佳實(shí)踐。ZDNet 認(rèn)為，這在很大程度上歸功于開(kāi)源開(kāi)發(fā)方法的發(fā)展，人們意識(shí)到一起修復(fù) bug 對(duì)每個(gè)人都有好處。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：谷歌研究：Linux 在修補(bǔ)漏洞方面比蘋(píng)果、谷歌和微軟做得更好

本文地址：https://www.oschina.net/news/183323