谷歌称供应商平均需要52天来修复报告的安全漏洞

谷歌称供应商平均需要52天来修复报告的安全漏洞

谷歌的零项目发布了一份报告，涵盖了其2021年的工作。它发现供应商平均需要52天来修复报告的安全漏洞。从2019年到2021年，零项目研究人员在90天的期限内向供应商报告了376个问题。

据Project Zero表示，在这376个问题中，超过93%的错误已得到修复，超过3%的错误已被供应商标记为“WontFix”。

研究人员补充说，其他11个错误仍未修复，8个已超过修复期限。微软、苹果和谷歌占发现的漏洞的65%。微软以96个错误领先，其次是苹果的85个和谷歌的60个。

“总体而言，数据显示，这里的几乎所有大型供应商平均在90天内到来。宽限期内的大部分修复来自苹果和微软（总共34个中的22个）。供应商已经超过了最后期限在此期间大约有5%的时间有宽限期，”零项目研究人员说。

在这一部分中，Oracle以最高的速度超过了，但不可否认的是，它的样本量相对较小，只有大约7个bug。第二高的是微软，已经超过了他们80个最后期限中的4个。所有供应商修复漏洞的平均天数是61天。

谷歌还提供了其他统计数据，显示修复的总体时间一直在减少，尤其是对于微软、苹果和Linux等供应商而言。这三个公司都缩短了2019年至2020年之间的修复时间，而谷歌在2020年加快了速度，并在2021年再次放缓。

他们指出，在2021年，只有一个90天的期限被超过，与其他两年的平均每年9天相比明显减少。研究人员补充说，宽限期被使用了9次——其中一半被微软使用——而其他年份的平均水平略低，为12.5次。

在移动漏洞方面，iOS设备共有76个漏洞，其次是三星Android设备10个，Pixel Android设备6个。

对于浏览器，Chrome有40个错误，平均需要5.3天打补丁。WebKit有27个错误，平均修复时间为11.6天，而Firefox有8个错误，平均修复时间为16.6天。

“Chrome是目前三款浏览器中速度最快的，从报告bug到在稳定频道发布修复的时间为30天。Firefox在本次分析中排名第二，但需要分析的数据点相对较少。Firefox发布平均在38天内修复，”研究人员说。

“WebKit是这次分析中的异常值，发布补丁的最长天数为73天。他们公开发布修复程序的时间介于Chrome和Firefox之间，但不幸的是，这留下了很长的时间让机会主义攻击者在向用户提供修复程序之前找到补丁并利用它。”

Project Zero表示，调查结果是一个积极的进展，表明许多供应商正在修复他们发现的大部分错误。供应商也在更快地纠正问题，谷歌将其归因于已成为行业标准的负责任的披露政策。

谷歌督促所有供应商关注“更频繁的安全问题补丁节奏”。

“我们鼓励所有供应商考虑发布有关外部报告漏洞的修复时间和修补时间的汇总数据。通过提高透明度、信息共享和整个行业的协作，我们相信我们可以相互学习实践，更好地了解现有的困难，并希望使互联网成为所有人更安全的地方，”Project Zero表示。