谷歌的零日安全研究小组透露,2021的Project Noice报告的安全漏洞平均比28快了28天。
去年,硬件和软件供应商修复安全漏洞的平均时间为52天,远低于90天的截止日期,而两年前的平均时间为80天。
只有一个bug超过了修复期限,尽管14%的bug需要额外的14天宽限期才能发布有效的修复。
Project Zero的Ryan Schoen在一篇博客文章中说:“我们怀疑,这一趋势可能是因为负责任的披露政策已成为该行业事实上的标准,供应商更有能力对不同截止日期的报告做出快速反应。”。
“我们还怀疑,随着行业透明度的提高,供应商已经相互学习了最佳实践。”
然而,Schoen警告称,Project Zero报告可能是异常值,“因为它们可能会收到更快的行动,因为存在公开披露的有形风险(如果不满足截止日期条件,团队将予以披露),并且Project Zero是可靠缺陷报告的可靠来源”。
在2019, 2020和2021年间,Project Neo在其标准的90天补救期限内向供应商报告了376个问题,其中351个(93.4%)是固定的,而供应商拒绝修复14(3.7%)个bug。
在25天时,Linux的平均修复时间最快,其次是谷歌(44天)和Mozilla(46天)。最慢的是甲骨文(109个),但只有七个漏洞,其次是微软(83个)和三星(72个)。
在三大领先的开源浏览器中,Chrome从收到错误报告到向用户发送修复程序的时间间隔最短,为30天,其次是Firefox(38天)和Safari(73天)。
Project Zero赞扬了谷歌的快速发布周期和额外的安全更新稳定版本,以及Chrome最近从六周的发布周期改为四周的发布周期。
Schoen警告称,苹果因更快地推出修补程序而广受赞誉,但因在登陆WebKit修补程序和将其发送给用户之间间隔太长而受到批评,这“给机会主义攻击者留下了很长的时间,让他们在修补程序提供给用户之前找到修补程序并加以利用”。
微软在补丁方面的相对缓慢被归咎于其“补丁周二”更新的“每月节奏”。
谷歌还宣布,它在2021的安全漏洞奖励计划(VRPS)中支付了破纪录的870万美元给安全研究人员。
Chrome VRP不仅涉及谷歌Chrome的安全性,还涉及其他几种基于Chrome的浏览器的安全性,它为333个漏洞报告提供了330万美元的赔偿,其中最大的一笔赔偿是为Chrome操作系统漏洞提供了45000美元的赔偿。
Android VRP支付了近300万美元,是2020年奖励总额的两倍,其中包括单个漏洞链的15.7万美元——这是Android有史以来最高的奖励。