Выявлено, что разработчики Linux правят проблемы безопасности быстрее всех

Разработчики программного обеспечения (ПО) в среднем сократили время исправления обнаруженной уязвимости в период с 2019 по 2021 год, следует из результатов исследования команды в области информационной безопасности Google Project Zero. Данные исследования опубликованы 10 февраля в блоге проекта.

Команда предупредила, что накопленный и проанализированный ей объем данных недостаточен, чтобы говорить о качественной выборке. Тем не менее, результаты оказались показательными, и общую картину с исправлением уязвимостей в ПО они предоставляют.

В период с 2019 по 2021 год команда Project Zero сообщила поставщикам ПО о 376 проблемах безопасности в ПО. Схема взаимодействия с поставщиками ПО заключается в предоставлении 90-дневного периода, в течение которого организация может исправить ПО, а информация об уязвимости раскрываться не будет.

Из 376 проблем 351 (93,4%) была исправлена, 14 (3,7%) были помечены как «не будут исправляться», 11 (2,9%) не были исправлены. Средний срок исправления снизился с 67 дней в 2019 году до 52 в 2021 году.

Наиболее быстро, как оказалось, исправляют проблемы безопасности разработчики Linux — 25 дней в среднем, падение с 32 в 2019 году до 15 в 2021 году. Дольше других справлялась с исправление проблем компания Oracle — 109 дней. Все остальные в среднем уложились в стандартный 90-дневный срок.

Их среднее время исправления: Microsoft — 83 дня, Samsung — 72, Apple — 69, Adobe — 65, Mozilla — 46, Google — 44. Все поставщики, кроме Google, уменьшили время реакции с 2019 по 2021 год.