Google’ın Sıfır Projesi yeni yayınlandı 2021’deki çalışmaları hakkında bir rapor. Bu rapora göre, yazılım satıcılarının bildirilen güvenlik açıklarını düzeltmeleri ortalama 52 gün sürdü.
2019 ve 2021 yılları arasında Project Zero araştırmacıları şunları bildirdi: 376 problem 90 gün içinde tedarikçilere.
Project Zero’ya göre, bu 376 sorunun %93’ünden fazlası düzeltildi ve %3’ten fazlası satıcılar tarafından “WontFix” olarak derecelendirildi. Araştırmacılar, diğer 11 hatanın düzeltilmediğini ve 8’inin düzeltme için son tarihlerin geçtiğini ekliyor. Microsoft, Apple ve Google, keşfedilen güvenlik açıklarının %65’inden sorumludur. Microsoft 96 hata ile lider, ardından Apple’dan 85 ve Google’dan 60 hata var.
“Neredeyse tüm büyük tedarikçiler ortalama olarak 90 gün içinde ulaşır”
Project Zero araştırmacıları, “Genel olarak, veriler büyük satıcıların neredeyse tamamının ortalama olarak 90 günün altında geldiğini gösteriyor. Satıcılar son teslim tarihini ve ödemesiz süreyi bu süre boyunca zamanın yaklaşık %5’ini kaçırdı” dedi. “Bu parantezde, Oracle en yüksek oranı aştı, ancak örneklem yalnızca yaklaşık 7 hata ile nispeten küçük. 80 son teslim tarihinden 4’ünü aşan Microsoft’tan sonra. Tüm satıcılar arasında hataları düzeltmek için ortalama gün sayısı 61’dir. günler.”
Google
Google ayrıca, özellikle Microsoft, Apple ve Linux gibi satıcılar için genel düzeltme süresinin son aylarda istikrarlı bir şekilde azaldığını gösteren başka istatistikler de sağladı. Üçü de 2019 ile 2020 arasında çözüm sürelerini kısaltırken, Google 2020’de hızlandı ve 2021’de tekrar yavaşladı.
2021’de buldular sadece 90 günlük bir süre diğer iki yıldaki yıllık ortalama 9’dan keskin bir düşüş olan aşıldı. Araştırmacılar, ek sürenin, diğer yıllarda biraz daha düşük bir ortalama olan 12,5 ile karşılaştırıldığında, yarısı Microsoft tarafından olmak üzere 9 kez kullanıldığını ekledi.
Mobil sistemlerdeki güvenlik açıklarına gelince, iOS cihazlarda toplam 76 hata, ardından Android Samsung cihazlar için 10 ve Android Pixel için 6 hata oluştu.
Tarayıcılara gelince, Chrome’da 40 hata var ve ortalama düzeltme süresi 5,3 gün. WebKit’te 27 hata ve ortalama 11.6 günlük düzeltme süresi bulunurken, Firefox’ta 8 hata ve ortalama 16.6 günlük düzeltme süresi vardı. “Chrome şu anda üç tarayıcının en hızlısı ve bir hatayı bildirme ve kararlı kanalda bir düzeltme yayınlama arasındaki 30 günlük gecikmeyle. Analiz edilecek veri noktası sayısı nispeten az olsa da Firefox bu analizde ikinci sırada geliyor. Firefox Araştırmacılar, ortalama 38 günde bir yama yayınladı” dedi.
“WebKit, 73 günde bir yamayı yayınlamak için en yüksek gün sayısıyla bu analizdeki istisnadır. Yamayı herkese açık olarak yayınlama süreleri Chrome ve Firefox arasında ortada kalıyor, ancak ne yazık ki bu, çok uzun bir süre kalıyor. saldırganların yamayı bulması ve yama kullanıcılara sunulmadan önce bundan yararlanmaları.”
Sıfır Projesi, sonuçların olumlu bir eğilimde olduğunu ve birçok satıcının buldukları hataların çoğunu düzelttiğini gösterdiğini söyledi. Satıcılar da sorunları çözmek için daha hızlı hareket ediyor ve Google bunu endüstri standardı haline gelen sorumlu ifşa politikalarına bağlıyor.
Google, tüm satıcıları “güvenlik sorunları için daha sık bir düzeltme kadansına” odaklanmaya çağırdı.
“Tüm satıcıları, harici olarak bildirilen güvenlik açıklarını düzeltmek ve yamaları uygulamak için gereken süreye ilişkin toplu verileri yayınlamaya teşvik ediyoruz. Daha fazla şeffaflık, daha iyi bilgi paylaşımı ve artan işbirliği sayesinde, sektör içinde, birbirimizin en iyi uygulamalarından daha iyi öğrenebileceğimize inanıyoruz. Var olan zorlukları anlayın ve umarım interneti herkes için daha güvenli bir yer haline getirir” dedi Project Zero.
Kaynak: “ZDNet.com”
