2019년 1월과 2021년 12월 사이에 Project Zero는 90일 기한으로 376개의 문제를 보고했습니다. 이 중 351개(93.4%)가 수정되었으며 14개(3.7%)가 공급업체에 의해 “WontFix”로 표시되었으며 11개(2.9%)가 아직 열려 있습니다. 그러나 마지막 범주에서 3개는 여전히 90일 기한 내에 있습니다.
흥미롭게도 발견된 버그 중 96개(26%)는 Microsoft 제품, 85개(23%) Apple, 60개(16%) Google 제품에 있었습니다. Oracle이 가장 많은 마감 시간을 초과했으며 Microsoft가 2위를 차지했습니다. 주요 벤더가 연도별로 수정하는 데 걸리는 시간은 아래에서 연도별 내역을 확인할 수 있습니다.
| 판매원 | 2019년 평균 버그 수정 일수 | 2020년 평균 버그 수정 일수 | 2021년 평균 버그 수정 일수 |
|---|---|---|---|
| 사과 | 71 | 63 | 64 |
| 마이크로소프트 | 85 | 87 | 76 |
| 49 | 22 | 53 | |
| 리눅스 | 32 | 22 | 15 |
위에서 볼 수 있듯이 전반적으로 공급업체에 긍정적인 발전이 있습니다. 그러나 유예 기간이 2021년에 9번 요청되었으며 그 중 절반이 Microsoft에서 요청한 것을 보는 것이 흥미 롭습니다.
모바일에서 보고된 버그는 iOS 76개, 삼성 제품 10개, 픽셀 6개입니다. iOS의 평균 수정 시간은 70일이었고 나머지 두 개는 72일이었습니다. iOS에서 왜 그렇게 많은 보안 결함이 발견되는지 궁금하다면 Apple이 OS의 일부로 많은 앱을 제공하기 때문입니다. Android는 주로 Google Play를 통해 관리되므로 OS에서 다루지 않습니다. – 수준 결함.
브라우저의 경우 크롬에 40개, 애플 웹킷에 27개, 파이어폭스에 8개였다. WebKit은 72일 이내에 발생한 결함을 수정하는 데 가장 느리고 Chrome은 30일, Firefox는 38일이었습니다.
Google Project Zero는 다음과 같이 언급했습니다.
전반적으로, 우리는 데이터에서 떠오르는 많은 유망한 경향을 봅니다. 공급업체는 받는 거의 모든 버그를 수정하며 일반적으로 90일의 마감일에 필요한 경우 14일의 유예 기간 내에 수정합니다. 지난 3년 동안 공급업체는 대부분 패치 릴리스를 가속화하여 전체 평균 패치 시간을 약 52일로 효과적으로 단축했습니다. 2021년에는 90일 기한을 한 번만 초과했습니다. 이러한 추세는 책임 공개 정책이 업계의 사실상 표준이 되었고 공급업체가 서로 다른 기한의 보고서에 보다 신속하게 대응할 수 있게 되었기 때문일 수 있습니다. 우리는 또한 업계의 투명성이 높아짐에 따라 공급업체가 서로의 모범 사례를 채택했다고 의심합니다.
한 가지 중요한 주의 사항: Project Zero 보고서는 공개 위험이 감지되므로 더 빨리 처리될 수 있으므로 다른 버그 보고서와 다를 수 있음을 이해합니다(마감 조건이 충족되지 않으면 팀에서 알려줌). Project Zero는 신뢰할 수 있는 버그 보고서를 제공하는 신뢰할 수 있는 출처입니다. 업계 보안 문제가 얼마나 빨리 해결되고 있는지에 대한 더 나은 아이디어를 제공하기 위해 공급업체가 상위 수준이더라도 메트릭을 게시할 것을 권장하며 다른 보안 연구원이 경험을 공유할 수 있도록 계속 권장합니다.
Project Zero 팀은 Microsoft가 일반적으로 화요일의 패치 업데이트 빈도에 의존하기 때문에 버그를 수정하는 데 오랜 시간이 걸린다고 언급했습니다. 그러나 그는 Microsoft가 보안 업데이트를 더 빨리 릴리스할 수 있는 더 좋고 똑똑한 방법을 찾을 수 있기를 바랍니다. Project Zero 보안 팀은 Android 보안 패치에 대해 동일한 희망과 권장 사항을 가지고 있습니다. 더 흥미로운 세부 사항은 여기에서 찾을 수 있습니다 .
답글 남기기