Project Zero, ekipi i Google i angazhuar në analizën e softuerit për të gjetur të metat e ditës zero, bëri një bilanc të periudhës 2019-2021, duke zbuluar informacione mjaft interesante për aktivitetin e tij dhe përgjigjen e shtëpive të softuerit. Së pari, kompanive të analizuara iu deshën mesatarisht 52 ditë për të zgjidhur të metat e sigurisë të raportuara nga Project Zero. Ky është një hap më lart nga 80 ditët e kërkuara 3 vjet më parë.
“Përveç faktit që mesatarja tani është shumë më poshtë afatit 90-ditor, ne kemi parë gjithashtu një rënie të kompanive që nuk e përmbushin afatin (ose periudhën shtesë 14-ditore të ‘grave’). Në vitin 2021, vetëm një defekti e kaloi afatin përpara se të rregullohej, ndërsa 14% kërkonin që të rregullohej periudha shtesë e hirit.
Midis 2019 dhe 2021 Google Project Zero raportoi 376 vrima sigurie: 93.4% u zgjidhën brenda 90 ditëve që sektori i dha vetes si një rregull të mirë përpara se të bënte të njohura rrjedhjet (i ashtuquajturi zbulim). Siç mund të shihet nga tabela e mëposhtme, fanella e zezë në rregullimin e gabimeve brenda periudhës 104-ditore është Oracle, megjithëse me pak dobësi (7). Pas Microsoft, ka tejkaluar numrin e ditëve të dhëna me 4 nga 80 të metat e identifikuara
“Në përgjithësi, të dhënat tregojnë se pothuajse të gjithë shitësit kryesorë të programeve kompjuterike i zgjidhin problemet mesatarisht në më pak se 90 ditë. Shumica e rregullimeve gjatë periudhës së hirit vijnë nga Apple dhe Microsoft (22 nga 34 gjithsej).”
Mesatarisht, duhen rreth 61 ditë për të ndërmarrë veprime për dobësitë. “Ne mund të shohim se koha e përgjithshme për të rregulluar është ulur në mënyrë të qëndrueshme, por në mënyrë më të konsiderueshme midis 2019 dhe 2020. Microsoft, Apple dhe Linux kanë reduktuar kohën e tyre për veprim, ndërsa Google është përshpejtuar në 2020 para se të ngadalësohet. përsëri në 2021. Ndoshta shumica mbresëlënëse është se të tjerët që nuk përfaqësohen në tabelë kanë ulur kolektivisht kohën e tyre të zgjidhjes me më shumë se gjysmën, “shpjegon Google, duke pranuar se shifra mund të lidhet me një” ndryshim në objektivat e kërkimit. “dhe jo me praktikat e një kompanie të caktuar.
Duke u ndalur vetëm në vitin 2021, vetëm në një rast është tejkaluar afati krahasuar me mesataren 9 herë në vit të viteve të mëparshme. “Periudha e hirit është përdorur 9 herë (gjysma e kohës nga Microsoft), krahasuar me një mesatare prej 12.5 në vitet e tjera.”
Sa i përket sistemeve operative celulare, është interesante të theksohet se iOS ka marrë më shumë raporte të gabimeve nga Google Project Zero se çdo version i Android. Dikush mund të mendojë me keqdashje se Google ka përqendruar më shumë vëmendje në iOS sesa në Android, por ekipi i Project Zero e hedh poshtë këtë rindërtim.
“Në vend se një çekuilibër në përzgjedhjen e objektivave të kërkimit, ky është më shumë një reflektim i mënyrës se si Apple shpërndan softuerin. Përditësimet e sigurisë për” aplikacionet “siç janë iMessage, Facetime dhe Safari / WebKit ofrohen të gjitha si pjesë e përditësimeve të sistemit operativ. , më pas i përfshijmë në analizën e OS. Nga ana tjetër, përditësimet e sigurisë për aplikacionet e pavarura në Android ndodhin përmes Google Play Store, ndaj nuk përfshihen në këtë analizë.”
Pas këtij sqarimi, shihet se të tre kompanitë e analizuara përdorin një kohë mesatare mjaft të ngjashme në zgjidhjen e problemeve.
Duke u kthyer te shfletuesit me burim të hapur, del se Chrome është shfletuesi që merr rregullime në kanalin e qëndrueshëm më shpejt pas raportimit të një problemi: duhen 30 ditë për të arritur përdoruesin përfundimtar dhe vetëm 5 për të zgjidhur problemin. Firefox është i dyti me një mesatare prej 38 ditësh, ndërsa WebKit mbyllet me 74 ditë. Në këtë rast problemi nuk është koha e zhvillimit të rregullimit, por koha brenda së cilës ai integrohet në një ndërtim dhe shpërndahet në publik.
Si përfundim, Project Zero vë në dukje se në rastin e Google, në veçanti Chrome, cikli i shpejtë i lëshimit të ndërtimeve të reja ndihmon për të mbajtur softuerin të përditësuar në një kohë të shkurtër. “Në rastin e Apple, ne jemi të kënaqur me përshpejtimin e mbërritjes së patch-it, si dhe me mospërdorimin e periudhave të hirit dhe mungesën e afateve të humbura. Për WebKit në veçanti, ne shpresojmë të shohim një reduktim në kohën që duhet midis paketimit një arnim dhe shpërndarje për përdoruesit, veçanërisht pasi siguria e WebKit prek të gjithë shfletuesit e përdorur në iOS, pasi WebKit është i vetmi motor i shfletuesit i lejuar.”
Së fundi, për sa i përket Microsoft-it, ekipi beson se koha e vonuar është pasojë e përditësimeve mujore të “Patch Tuesday”, gjë që mund ta bëjë më të vështirë për ekipet e zhvillimit të përmbushin një afat të zbulimit. “Shpresojmë që Microsoft mund të konsiderojë zbatimin e një kadence më të shpeshtë për shqetësimet e sigurisë ose të kërkojë mënyra për të përmirësuar më tej proceset e brendshme.”
Discussion about this post