一直以來,業界對於“Linux 發行版究竟是不是比 Windows 或 macOS 更安全”這個話題的爭論就沒斷過。近日,谷歌 Project Zero 通過研究,在修補安全漏洞方面得出了一些有趣發現:Linux 開發者修復安全漏洞的速度比其他任何平臺都快。
谷歌 Project Zero 是一支由谷歌安全分析師組成的團隊,用於查詢開源專案中的零日漏洞。
據谷歌安全研究專案(security research program)近兩年來在軟體中發現的安全漏洞相關資訊顯示:自 2019 年 1 月至 2021 年 12 月,Project Zero 團隊發現 Linux 開發人員解決問題的速度遠遠快於蘋果、微軟及谷歌(甚至比谷歌自己的內部團隊在 Chrome、Chrome OS 和 Android 上做得更好)。
在報告中,谷歌 Project Zero 分享了一組資料:其中蘋果軟體被發現有 84 個安全漏洞,微軟 80個、谷歌 56 個,而 Linux 只有 25 個。關鍵在漏洞解決速度上,Linux 開發者修復漏洞的速度比任何人都快。
儘管蘋果能夠在問題報告後 90 天內修復 87% 的漏洞,但微軟僅修復了 76%。谷歌則在 90 天“視窗時間”內修復了 95% 的安全漏洞,表現良好;而 Linux 開發者則修復了 96% 的漏洞,屬於是穩贏了。
該報告資料顯示,蘋果、谷歌、Linux 和 微軟這四大平臺裡面,“Windows 製造商”解決問題的速度最慢 —— 微軟平均花了 83 天來修復漏洞;蘋果則以 69 天的時間排在第二位。谷歌的漏洞修復平均需要 44 天,但 Linux 軟體的問題以極快的速度得到解決:平均只需 25 天。
該 Project Zero 報告還透露:在 2019 年至 2021 年期間,Project Zero 團隊在標準 90 天的期限裡共向供應商們提交了 376 個問題。其中 351 個(93.4%)已經修復,14 個(3.7%)已被供應商標記為 WontFix;11 個(2.9%)其他 bug 仍未修復,有 8 個已過了修復的截止日期;其餘 3 個仍在最後期限內。大多數漏洞集中圍繞在幾個大的供應商周圍,其中 96 個漏洞(26%)提交給微軟,85個(23%)提交給蘋果,60 個(16%)提交給谷歌。
報告顯示,平均固定時間的天數 “整體修復時間一直在下降”,但在 2019 - 2020 年期間該趨勢最為明顯。總體而言,微軟、蘋果和 Linux 在這段時間內減少了修復的時間。谷歌在 2021 年之前的 2020 年裡該速度也放緩了些。其他沒有出現在圖表上的軟體企業平臺(包括 Facebook、Git、Canonical、Intel、Kubernetes 和 Node.js、高通、RedHat 和 Zoom),也已集體了消減了一半以上的時間。“這一發現或代表研究目標的改變,而非任何特定供應商實踐的改變。”
報告還指出,iOS 問題的修復速度比 Android 快,儘管前者(72個)的 bug 遠遠多於後者(10 個)。
除此之外,Chrome 在 30 天內解決了 40 個問題,而 Firefox 只解決了 8 個問題,也就是說開發者需要 37.8 天解決問題。
Project Zero 報告也表示,對於對於大多數軟體來說,暫時還無法深入瞭解時間線的細節。但具體來說:在供應商收到安全問題報告後,“在錯誤報告和修復之間花費了多少“修復時間”,以及在修復和釋出帶有修復的構建之間花費了多少時間?”這個問題,他們擁有的一個視窗是開放原始碼軟體,並且特定於Project Zero 所做的漏洞研究型別 —— 開放原始碼瀏覽器。
當然,大家也可以檢視相同的資料以柱狀圖形式展開的情況,特別是從一個補丁公開發布到該補丁釋出給使用者的時間的柱狀圖顯示了清晰過程:
最後,報告強調:“我們希望對供應商的流程和時間表有更多的瞭解。我們鼓勵所有供應商考慮在其時間上釋出彙總資料來修復和修補外部報告漏洞的時間。通過提高行業透明度、資訊共享和協作,相信我們可以相互學習最佳實踐,更好地理解存在的困難,並希望讓網際網路成為所有人都更安全的地方。”
點選檢視完整報告:https://googleprojectzero.blo...
眾所周知,如今隨著惡意軟體的日益流行,操作平臺和其他軟體中的安全漏洞成為了使用者比較關注的問題。特別是一些針對性的黑客攻擊,正在對政府機構、政客、記者及社會活動造成“威脅”。當然,普通公民也經常會成為網路犯罪分子的目標。
所以,作為全球知名軟體供應商的蘋果、微軟、谷歌等企業,確實有必要將快速修補其產品中的安全漏洞作為接下來工作的重點之一。如果您對該話題有任何看法,也歡迎在評論區交流互動。