谷歌研究：Linux 在修补漏洞方面比苹果、谷歌和微软做得更好

来自谷歌安全研究团队 Project Zero 的研究表明，Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。

从 2019 年到 2021 年，Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些 bug 中的 351 个 (93.4%) 已被修复、14 个 (3.7%) 被供应商标记为 WontFix 、11 个 (2.9%) 仍未修复。在公告发布时，已有时 8 个超过了修复期限;其余 3 个仍处于修复期限内。大多数漏洞集中在少数供应商那里，有 96 个漏洞 (26%) 被报告给微软，85 个 (23%) 报告给苹果，60 个 (16%) 报告给了谷歌。

Project Zero 为供应商提供了 90 天的标准期限以及 14 天的宽限时间来解决安全问题。研究发现，开源程序员平均只用 25 天就修复了 Linux 问题。与此同时，苹果则花了 69 天、谷歌花了 44 天、Mozilla 花了 46 天来修复了漏洞。排在最后的是微软 83 天，和甲骨文 109 天(尽管只有少数几个安全问题)。其他主要包括 Apache、Canonical、Github 和 Kubernetes 等开源组织和公司，以 44 天的时间排在前列。

总的来说，整体修复时间一直在减少，但在 2019 年和 2020 年之间最为明显。在此期间，微软、苹果和 Linux 整体上减少了他们的修复时间，Linux 从 2019 年的 32 天发展到了 2021 年的仅 15 天。而谷歌在 2020 年加快了速度，然后在 2021 年再次放缓。2021 年，供应商平均需要 52 天来修复报告的安全漏洞。

除了发现 2021 年的平均值远低于 90 天的最后期限外，该团队还发现错过最后期限或额外的 14 天宽限期的供应商数量也有所下降。 去年只有一个 Google Android 安全问题超过了修复期限，其他两年平均每年 9 个;宽限期共使用了 9 次(尤其是微软使用了一半)，略低于其他年份的 12.5 次平均值。

移动操作系统方面，苹果 iOS(平均 70 天)比谷歌 Android 系统(平均 72 天)发布补丁的速度要更快。但另一方面，iOS 包含有 72 个 bug，远多于 Android 的 10 个问题。

浏览器问题也正在以更快的速度得到解决。Chrome 平均不到 30 天就解决了 40 个问题，Mozilla Firefox 仅有 8 个安全漏洞，平均 37.8 天就能修复。Webkit 是 Apple 的 Web 浏览器引擎，主要由 Safari 使用;Webkit 的程序员平均需要超过 72 天的时间来修复 bug。

研究指出，与过去几年相比，所有人在修复漏洞方面都做得更好了。这或许是因为负责任的披露政策已成为行业事实上的标准，供应商更有能力对不同期限的报告做出快速反应。且随着透明度的提高，公司也一直在相互学习最佳实践。ZDNet 认为，这在很大程度上归功于开源开发方法的发展，人们意识到一起修复 bug 对每个人都有好处。

本文转自OSCHINA

本文标题：谷歌研究：Linux 在修补漏洞方面比苹果、谷歌和微软做得更好

本文地址：https://www.oschina.net/news/183323