لاحظ Project Zero من Google انخفاضًا في إجمالي الوقت الذي يحتاجه البائعون لمعالجة نقاط الضعف التي أبلغ عنها فريق البحث عن الأخطاء.
بين عامي 2019 و 2021 ، أبلغ الفريق عن إجمالي 376 نقطة ضعف وشاهد معظمها (351) يتم إصلاحها. من بين العيوب المتبقية ، تم وضع علامة "WontFix" على 14 منها من قبل البائع و 11 لم يتم إصلاحها.
وفقًا لسياسة Google Project Zero ، أمام البائعين 90 يومًا لمعالجة الأخطاء الأمنية ، ولكن يمكنهم أيضًا طلب فترة سماح لمدة 14 يومًا إذا كان سيتم شحن التصحيح خلال فترة 104 يومًا.
من بين عينة مكونة من 346 نقطة ضعف تم الإبلاغ عنها وتصحيحها بين عامي 2019 و 2021 ، تم تصحيح الغالبية خلال تلك النافذة ، مع تجاوز 5٪ فقط الموعد النهائي وفترة السماح.
في العام الماضي ، احتاج البائعون إلى 52 يومًا في المتوسط لمعالجة المشكلات المبلغ عنها ، انخفاضًا من 54 يومًا في 2020 و 67 يومًا في 2019.
يقول Google Project Zero: "يمكننا أن نرى بعض الأشياء: أولاً وقبل كل شيء ، كان الوقت الإجمالي للإصلاح يتناقص باستمرار ، ولكن الأهم بين عامي 2019 و 2020".
قال الفريق إنه تم تجاوز موعد نهائي واحد فقط العام الماضي ، بانخفاض كبير عن المواعيد النهائية التسعة التي تم تجاوزها بين عامي 9 و 2019. تم استخدام فترة السماح 2020 مرات في عام 9.
جاء الجزء الأكبر من الإصلاحات خلال فترة الثلاث سنوات من Apple (84) ، مع Microsoft (80) و Google (56) و Linux (25) و Adobe (19) لتقريب المراكز الخمسة الأولى. في المتوسط ، احتاجوا إلى أقل من 90 يومًا لحل المشكلات المبلغ عنها.
أبلغ فريق Project Zero التابع لشركة Google عن إجمالي 76 نقطة ضعف في نظام التشغيل iOS بين عامي 2019 و 2021 ، و 16 خطأ فقط في Android ، ولكن الخلل ناتج عن الطريقة التي تقوم بها Apple بشحن تحديثات الأمان: نظرًا لأن تصحيحات تطبيقات Apple مضمنة في تحديثات iOS ، فإن Project Zero يحسب. لهم كقضايا تتعلق بالمنصة.
[اقرأ: يعلن Google Project Zero عن تحديثات 2021 لسياسة الإفصاح عن الثغرات الأمنية]
أبلغ الفريق عن 40 خطأ تم العثور عليها في Chrome ، و 27 في WebKit ، و 8 في Firefox ، ولاحظوا أنه تم إصلاحها ، في المتوسط ، في غضون 46 يومًا.
في الوقت الحالي ، يعد Chrome هو الأسرع من بين الثلاثة من حيث وقت الإصلاح ، مع "متوسط 5 أيام بين تقرير الخطأ والتصحيح في الأماكن العامة" ، كما يقول Project Zero.
يتم شحن إصلاحات Firefox ، في المتوسط ، في 38 يومًا ، في حين أن إصلاحات WebKit تتلقى التصحيحات أبطأ ، بمتوسط 73 يومًا.
"يعمل البائعون على إصلاح جميع الأخطاء التي يتلقونها تقريبًا ، وعادةً ما يقومون بذلك في غضون 90 يومًا من الموعد النهائي بالإضافة إلى فترة السماح البالغة 14 يومًا عند الحاجة. على مدى السنوات الثلاث الماضية ، قام البائعون ، في الغالب ، بتسريع التصحيح الخاص بهم بشكل فعال ، مما أدى إلى تقليل متوسط الوقت الإجمالي للإصلاح إلى حوالي 52 يومًا ، " يقول.
ومع ذلك ، يشير Project Zero أيضًا إلى أن البائعين قد يسارعون إلى إصدار تصحيحات لتجنب مخاطر الإفصاح العام عند الوصول إلى الموعد النهائي ، ويشجع البائعين على إصدار مقاييس لرسم صورة أفضل لمدى سرعة معالجة الثغرات الأمنية في جميع أنحاء الصناعة.
هذا الموضوع ذو علاقة بـ: المشروع صفر: فات نظام Zoom Platform التخفيف من استغلال ASLR
هذا الموضوع ذو علاقة بـ: خطأ أمان في التكبير / التصغير عالي المخاطر للمشروع
هذا الموضوع ذو علاقة بـ: Google تكشف عن تفاصيل عيب حاوية تطبيقات Windows غير المصححة
Ionut Arghire هو مراسل دولي لـ SecurityWeek.
الوسوم (تاج):
