一直以来,业界对于“Linux 发行版究竟是不是比 Windows 或 macOS 更安全”这个话题的争论就没断过。近日,谷歌 Project Zero 通过研究,在修补安全漏洞方面得出了一些有趣发现:Linux 开发者修复安全漏洞的速度比其他任何平台都快。
谷歌 Project Zero 是一支由谷歌安全分析师组成的团队,用于查找开源项目中的零日漏洞。
据谷歌安全研究项目(security research program)近两年来在软件中发现的安全漏洞相关信息显示:自 2019 年 1 月至 2021 年 12 月,Project Zero 团队发现 Linux 开发人员解决问题的速度远远快于苹果、微软及谷歌(甚至比谷歌自己的内部团队在 Chrome、Chrome OS 和 Android 上做得更好)。
在报告中,谷歌 Project Zero 分享了一组数据:其中苹果软件被发现有 84 个安全漏洞,微软 80个、谷歌 56 个,而 Linux 只有 25 个。关键在漏洞解决速度上,Linux 开发者修复漏洞的速度比任何人都快。
尽管苹果能够在问题报告后 90 天内修复 87% 的漏洞,但微软仅修复了 76%。谷歌则在 90 天“窗口时间”内修复了 95% 的安全漏洞,表现良好;而 Linux 开发者则修复了 96% 的漏洞,属于是稳赢了。
该报告数据显示,苹果、谷歌、Linux 和 微软这四大平台里面,“Windows 制造商”解决问题的速度最慢 —— 微软平均花了 83 天来修复漏洞;苹果则以 69 天的时间排在第二位。谷歌的漏洞修复平均需要 44 天,但 Linux 软件的问题以极快的速度得到解决:平均只需 25 天。
该 Project Zero 报告还透露:在 2019 年至 2021 年期间,Project Zero 团队在标准 90 天的期限里共向供应商们提交了 376 个问题。其中 351 个(93.4%)已经修复,14 个(3.7%)已被供应商标记为 WontFix;11 个(2.9%)其他 bug 仍未修复,有 8 个已过了修复的截止日期;其余 3 个仍在最后期限内。大多数漏洞集中围绕在几个大的供应商周围,其中 96 个漏洞(26%)提交给微软,85个(23%)提交给苹果,60 个(16%)提交给谷歌。
报告显示,平均固定时间的天数 “整体修复时间一直在下降”,但在 2019 - 2020 年期间该趋势最为明显。总体而言,微软、苹果和 Linux 在这段时间内减少了修复的时间。谷歌在 2021 年之前的 2020 年里该速度也放缓了些。其他没有出现在图表上的软件企业平台(包括 Facebook、Git、Canonical、Intel、Kubernetes 和 Node.js、高通、RedHat 和 Zoom),也已集体了消减了一半以上的时间。“这一发现或代表研究目标的改变,而非任何特定供应商实践的改变。”
报告还指出,iOS 问题的修复速度比 Android 快,尽管前者(72个)的 bug 远远多于后者(10 个)。
除此之外,Chrome 在 30 天内解决了 40 个问题,而 Firefox 只解决了 8 个问题,也就是说开发者需要 37.8 天解决问题。
Project Zero 报告也表示,对于对于大多数软件来说,暂时还无法深入了解时间线的细节。但具体来说:在供应商收到安全问题报告后,“在错误报告和修复之间花费了多少“修复时间”,以及在修复和发布带有修复的构建之间花费了多少时间?”这个问题,他们拥有的一个窗口是开放源代码软件,并且特定于Project Zero 所做的漏洞研究类型 —— 开放源代码浏览器。
当然,大家也可以查看相同的数据以柱状图形式展开的情况,特别是从一个补丁公开发布到该补丁发布给用户的时间的柱状图显示了清晰过程:
最后,报告强调:“我们希望对供应商的流程和时间表有更多的了解。我们鼓励所有供应商考虑在其时间上发布汇总数据来修复和修补外部报告漏洞的时间。通过提高行业透明度、信息共享和协作,相信我们可以相互学习最佳实践,更好地理解存在的困难,并希望让互联网成为所有人都更安全的地方。”
点击查看完整报告:https://googleprojectzero.blo...
众所周知,如今随着恶意软件的日益流行,操作平台和其他软件中的安全漏洞成为了用户比较关注的问题。特别是一些针对性的黑客攻击,正在对政府机构、政客、记者及社会活动造成“威胁”。当然,普通公民也经常会成为网络犯罪分子的目标。
所以,作为全球知名软件供应商的苹果、微软、谷歌等企业,确实有必要将快速修补其产品中的安全漏洞作为接下来工作的重点之一。如果您对该话题有任何看法,也欢迎在评论区交流互动。
