Merak ediyor olabilirsiniz: Linux tescilli sistemlerden daha mı az güvenli? Yoksa bu size saçma geliyor. Haklısın.
Ve veriler bunu kanıtlıyor. Google’ın Güvenlik Araştırma Ekibi, Proje Sıfıryakın zamanda gösterdi ki Linux geliştiricileri güvenlik kusurlarını en hızlı şekilde düzeltir.
Herkesten daha hızlı… Google dahil.
Ücretsiz yazılım geliştiricileri daha hızlı
Project Zero ekibi, Ocak 2019 ile Aralık 2021 arasında bildirilen güvenlik açıkları için düzeltmeleri analiz etti. Ve özgür yazılım programcılarının Linux’taki sorunları ortalama olarak yalnızca 25 günde yamaladığını buldular. Ayrıca, güvenlik açıklarını düzeltme süreleri de iyileşti, çünkü 2019’da 32 günden 2021’de sadece 15 güne çıktı.
Rakipleri o kadar iyi öğrenciler değil. Örneğin, Apple’ın 69 gün, Google’ın 44 günü ve Mozilla’nın 46 günü vardır. Paketin sonunda, ortalama 83 gün ile Microsoft ve 109 gün ile yalnızca bir avuç güvenlik sorunu yaşayan Oracle var. Ekibe göre, geri kalanı – çoğunlukla ücretsiz yazılım kuruluşları ve Apache, Canonical, Github ve Kubernetes gibi şirketler – saygın bir 44 gün aldı.
Genel olarak konuşursak, herkes güvenlik kusurlarını düzeltmede daha hızlı hale geliyor. 2021’de satıcıların bildirilen güvenlik açıklarını düzeltmesi ortalama 52 gün sürdü. Sadece üç yıl önce ortalama 80 gündü.
Genel olarak azaltılmış düzeltme süreleri
Google’ın güvenlik ekibi, özellikle Microsoft, Apple ve Linux’un son iki yılda güvenlik açıklarını düzeltmek için harcadıkları zamanı azalttığını belirtiyor.
Mobil işletim sistemleri söz konusu olduğunda, Apple’ın iOS’taki hataları düzeltmesi ortalama 70 gün sürüyor. Yani, Android’de ortalama 72 gün olan Google’dan çok az daha iyi. Öte yandan, iOS, Android’den çok daha fazla hataya sahiptir – sırasıyla 10’a karşı 72.
Tarayıcılarda da hata düzeltme süreleri kısalıyor. Chrome, 40 sorununu ortalama 30 günden kısa bir sürede çözdü. Yalnızca 8 güvenlik açığı bulunan Mozilla Firefox’un ortalama düzeltme süresi 37,8 gündür. gelince Web setiçoğunlukla Safari tarafından kullanılan Apple’ın web tarayıcısının motoru, sonuçlar çok daha kötü: hataları düzeltmek için ortalama 72 günden fazla.
Daha fazla güvenlik için daha fazla şeffaflık
Project Zero ekibi bağış yapıyor geliştiricilerin güvenlik sorunlarını çözmeleri için 90 gün. Ortalamanın şu anda bu zaman diliminin oldukça altında olmasının yanı sıra ekip, 90 gün veya süreyi karşılamayan tedarikçi sayısında da bir düşüş gördü. ek 14 günlük ödemesiz dönem.
Geçen yıl, yalnızca bir güvenlik açığı bu süre sınırını aştı. bir android güvenlik sorunu. Ancak, bildirilen hataların %14’ü ek iki hafta gerektirmiştir. Her iki durumda da, herkes güvenlik açıklarını düzeltmek için önceki yıllara göre çok daha iyi bir iş çıkarıyor.
Niye ya ? Project Zero ekibi bunun, “sorumlu ifşa politikalarının sektörde fiili standart haline gelmesi ve satıcıların değişen zaman çizelgelerine sahip raporlara hızlı yanıt vermek için daha donanımlı olması” nedeniyle olduğuna inanıyor. İş tarafında, daha fazla şeffaflık sayesinde, yapılanları gözlemleyerek birbirlerinden öğrendiler. Bunların çoğunu açık kaynak geliştirme yöntemlerinin büyümesine bağlıyorum. Hataları düzeltmek için birlikte hareket etmenin herkesin çıkarına olduğu giderek daha açık hale geliyor.
Kaynak: ZDNet.com