研究人员认为,修补过程的改进,更高的透明度和负责任的披露政策
零项目在2021年报告的安全漏洞平均比2019年快28天了。零日安全研究团队透露。
硬件和软件供应商平均花了52天的时间来修复去年的安全缺陷,远低于两年前80天的平均时间的90天截止日期,低于90天的截止日期。
只有一个错误超过了修复截止日期,尽管14%需要在释放工作修复之前额外的14天宽限期。
“提高透明度”
“我们怀疑这种趋势可能是由于负责任的披露政策已成为行业中的事实上的标准,而且供应商更有能力对截止日期不同的报告做出迅速反应,”零项目的瑞安·舒恩(Ryan Schoen博客文章。
“我们还怀疑供应商彼此学习了最佳实践,因为该行业的透明度提高。”
推荐的依赖性混乱位于2021年港口年度网络黑客列表中beplay官网可以赌beplay体育能用吗
但是,Schoen警告说,零项目的报告可能是离群值“因为他们可能会采取更快的措施,因为有明显的公开披露风险(因为如果不满足截止日期,团队将披露),而项目零项目是可靠的可靠来源错误报告”。
在2019年,2020年和2021年,零项目报告了376个问题,该供应商根据其标准的90天补救截止日期,其中351(93.4%)是固定的,而供应商拒绝解决14(3.7%)错误。
25天的Linux的平均时间最快,然后是Google(44)和Mozilla(46)。最慢的是甲骨文(109),但来自七个错误的小样本,其次是微软(83)和三星(72)。
浏览器
在三个领先的开源浏览器- 数据对于其专有竞争对手而言不可用 - Chrome在接收错误报告以将修复程序运送给用户(30天)之间的差距最短 - 然后是Firefox(38天)和Safari(73)。
零项目赞扬Google的快速发行周期和用于安全更新的其他稳定版本,以及Chrome最近从六周转换为为期四周的发布周期。
苹果Drew Plaudits总体上可以更快地进行修复推出,但受到批评,因为登陆Webkit补丁和将其运送到用户之间,这很长一段时间,“这给机会主义攻击者留下了很长的时间来找到该补丁并在修复之前对其进行利用beplay体育能用吗Schoen警告说。
微软在修补方面的比较缓慢归咎于其“补丁星期二”更新的“每月节奏”。
记录VRP支出
Google还宣布了它支付了创纪录的870万美元2021年,根据其脆弱性奖励计划(VRP)的奖励。
Chrome VRP,不仅涵盖谷歌Chrome Security,但在Chromium上建造的其他几个浏览器中,333亿美元的Bug报告授予了330万美元,其中最大的支出为45,000美元,奖金是Chrome OS缺陷。
Android VRP支付了近300万美元,在2020年的总奖励中,其中包括一个单一的漏洞链(包括有史以来最高的Android奖励)的157,000美元。
道德黑客向慈善机构捐赠了超过30万美元的奖励。
