Google’ın yeni araştırmasına göre, şirketler ürünlerinde bulunan güvenlik açıklarını düzeltmede çok daha iyi hale geliyor, birçok firma artık çeşitli sorunları çözmek için daha az zaman harcıyor ve aynı zamanda teslim tarihlerini önceki yıllara göre daha az ihlal ediyor.
Google’ın sıfırıncı gün güvenlik açıklarını (kötü amaçlı yazılım yoluyla kötüye kullanılabilecek bilinmeyen veya yamalanmamış kusurlar) bulmakla görevli güvenlik analistlerinden oluşan Project Zero, yakın zamanda bir rapor yayınladı. Blog yazısı 2019 ve 2021 arasında bulduğu 376 sorunu, satıcıların bulgulara nasıl tepki verdiğini ve bunun dijital dünyanın genel siber güvenlik duruşu için ne anlama geldiğini detaylandırıyor.
376 sorunun neredeyse tamamı (351 – %93,4) düzeltildi. Sadece 14’ü (%3,7) ilgili satıcıları tarafından WontFix olarak işaretlenirken, 11’i (%2,9) aktif olmaya devam ediyor (bunlardan 8’i 90 günlük sürelerini çoktan geçti).
Google, Microsoft ve Apple paketin lideri
Tüm bu güvenlik açıklarının yaklaşık üçte ikisini üç büyük şirket oluşturuyor (%65): Microsoft 96 (%26), Apple 85 (%23) ve Google 60 (%16) aldı.
Blog, bir satıcının bir sorunu düzeltmesi ve geliştirilmiş bir sürümü müşterilerinin uç noktalarına göndermesi için son tarihin 90 gün olduğunu iddia ediyor. Satıcı, düzeltmeyi o zamana kadar yayınlayacağına söz verirse 14 günlük bir ödemesiz süre de isteyebilir.
Bununla birlikte, bildirilen tüm güvenlik açıklarından Apple, bu 90 günlük zaman aralığında Microsoft’tan (%76) veya Google’dan (%53) daha fazla, %87’sini düzeltti. Microsoft, ek süre boyunca yayınlanan en fazla yamaya sahiptir (15 kusur veya %19).
Google ayrıca, bir sorunu çözmek için ortalama 44 gün sürerek, Apple’dan (69) veya Microsoft’tan (83) daha az sürerek bu sorunları çözmede en hızlı olduğunu iddia ediyor.
Bunların 2019 – 2021 dönemine ait rakamlar olduğunu unutmayın. En iyi kısım bu rakamların yıllara ayrılıp karşılaştırılmasıyla ortaya çıkıyor.
2019’da Apple’ın bir sorunu çözmesi ortalama 71 gün sürdü. 2020 – 63’te. 2021 – 64’te.
Microsoft için sırasıyla 85, 87 ve 76 iken, Google için 49, 22, 53 idi. 2020 ve 2021 arasında biraz yavaşlayan Google’ın yanı sıra, bu şirketler sürekli olarak gereken süreyi kısaltıyor. çeşitli güvenlik açıklarını giderin.
Project Zero, “Belki de en etkileyici olanı, grafikte temsil edilmeyen diğerlerinin toplu olarak düzeltmek için zamanlarını yarıdan fazla kısaltmış olmalarıdır” diye açıklıyor.
Araştırmacılar, aldıkları hataların neredeyse tamamını düzelten ve genellikle 90 günlük süre içinde yapan satıcılar da dahil olmak üzere “verilerden ortaya çıkan bir dizi umut verici eğilim” gördüklerini söylüyorlar. Ayrıca, son üç yılda yama teslimatlarını hızlandırdılar.
“Bu eğilimin, sorumlu bilgilendirme politikalarının sektörde fiili standart haline gelmesinden ve satıcıların farklı son teslim tarihlerine sahip raporlara daha hızlı tepki vermek için daha donanımlı olmasından kaynaklanabileceğinden şüpheleniyoruz. Ayrıca, sektörde şeffaflığın artması nedeniyle, satıcıların birbirlerinden en iyi uygulamaları öğrendiğinden şüpheleniyoruz.”
Binlerce güvenlik açığı, milyonlarca ücretli ödül
Google, geçen yıl şirketin Güvenlik Açığı Ödül Programları (VRP’ler) için de rekor kırdığını doğruladı. 2021 boyunca, Google ve daha geniş siber güvenlik topluluğu “binlerce güvenlik açığı” keşfetti ve şirket topluluğa rekor kıran 8.700.000 ABD doları verdi.
Yaklaşık 700 araştırmacıya yeni böcekleri keşfetme konusundaki sıkı çalışmaları için ödeme yapılırken, verilen en yüksek ödül 157.000 dolarla zirve yaptı.
Bu ödül, Android’de bir istismar zinciri keşfeden bir araştırmacıya gitti.
Mobil platformdan bahsetmişken, Android VPR geçen yıl 2020 toplam ödemesini ikiye katlayarak neredeyse 3 milyon dolara yükseldi. Bulunan 333 benzersiz güvenlik hatası için toplam 115 Chrome VRP araştırmacısı ödüllendirildi. Şirket, burada VRP ödülleri olarak toplam 3,3 milyon dolar ödedi.
Son olarak şirket, Google Play platformundaki kusurları keşfeden 60 araştırmacıya 550.000 dolar ödül dağıttı.