Google dice che Apple è più veloce di Microsoft - nel chiudere le falle di sicurezza
Nel 2021, ci sono voluti in media 52 giorni per chiudere una vulnerabilità segnalata dal Project Zero di Google. Tre anni prima, la media era di 80 giorni.
Dal 2014, il Project Zero di Google cerca vulnerabilità di sicurezza nel software e le segnala ai rispettivi produttori. Ci sono state 376 lacune negli ultimi tre anni - la maggior parte delle quali ha colpito Apple, Microsoft e Google.
Linux è il più veloce
Il tempo medio per chiudere una vulnerabilità segnalata da Project Zero è sceso da 80 giorni a 67, 54 e ora 52 giorni nel 2021. Tuttavia, ci sono ancora grandi differenze tra i produttori. Apple, per esempio, ha bisogno di una media di 64 giorni, Microsoft è ancora più lenta con 76 giorni. Google raggiunge quasi la media con 53 giorni, ma è eclissato da Linux con 15 giorni. I produttori raggruppati sotto "Altro" hanno impiegato una media di 29 giorni. Nel complesso, il numero di vulnerabilità trovate per anno è diminuito. Da 199 nel 2019 a 87 nel 2020 e più recentemente 63 nel 2021.
| Gefundene Lücken 2019
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2020
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2021
(Durchschnitt der Tage bis zum Schließen) | |
|---|---|---|---|
| Apple | 61 (71) | 13 (63) | 11 (64) |
| Microsoft | 46 (85) | 18 (87) | 16 (76) |
| 26 (49) | 13 (22) | 17 (53) | |
| Linux | 12 (32) | 8 (22) | 5 (15) |
| Andere | 54 (63) | 35 (54) | 14 (29) |
Le cifre dicono solo qualcosa su quanto tempo ci è voluto per pubblicare l'aggiornamento. La vulnerabilità di sicurezza potrebbe anche essere chiusa dopo un solo giorno, ma i produttori si discostano dai loro soliti cicli di aggiornamento solo in casi eccezionali di una vulnerabilità di sicurezza particolarmente grave. È uno sviluppo positivo quando Google, per esempio, accorcia questo periodo per il browser Chrome da sei a quattro settimane.
Per la maggior parte dei produttori, Project Zero può solo vedere e registrare i periodi tra la segnalazione della vulnerabilità e il rilascio della nuova versione con la correzione. Con il software open source, sono possibili approfondimenti più precisi. Per esempio, con i tre browser Chrome, Safari e Firefox. Per loro, ci sono voluti tra 5,3 e 16,6 giorni prima che una patch per una vulnerabilità di sicurezza fosse disponibile. In media, tuttavia, ci sono voluti altri 37,3 giorni fino al rilascio della versione successiva del browser con questa patch. Se non si installa la patch da soli, si aspetta una media di 46,1 giorni prima che la falla di sicurezza venga chiusa sul proprio computer.
| Von der Meldung bis zum Patch
(Tage / Durchschnitt) | Vom Patch bis zur Veröffentlichung
(Tage / Durchschnitt) | Von der Meldung bis zur Veröffentlichung
(Tage / Durchschnitt) | |
|---|---|---|---|
| Chrome | 5.3 | 24.6 | 29.9 |
| WebKit (Safari) | 11.6 | 61.1 | 72.7 |
| Firefox | 16.6 | 21.1 | 37.8 |
90 giorni di tempo
Il Progetto Zero dà agli sviluppatori 90 giorni per chiudere una vulnerabilità dopo che è stata segnalata. Su richiesta, è possibile un ritardo di 14 giorni. Tuttavia, Project Zero rende pubblica una vulnerabilità di sicurezza al più tardi dopo 104 giorni - indipendentemente dal fatto che sia stata corretta o meno. Questo aumenta la pressione sui produttori per colmare il divario.
Da ragazzo, mi sedevo sul divano del mio amico insieme a tutti i miei compagni di classe, giocando alla sua SuperNES. Ora invece, posso testare per voi tutte le nuove tecnologie. Inizialmente per Curved, Computer Bild e Netzwelt, e ora per Galaxus.de.