0
0
Apesar das aparências o tempo melhorou muito: três anos atrás a média estava em 80 dias
Em 2021, os fornecedores de software levaram, em média 52, dias para corrigir as vulnerabilidades de segurança informadas pelo Project Zero do Google. O número pode parecer ruim, mas ele indica um encurtamento significativo do prazo, já que três anos atrás a média era de cerca de 80 dias. Segundo post do líder do projeto, Ryan Schoen, “além da média agora estar bem abaixo do prazo de 90 dias , também observamos uma queda do número de fornecedores que não atenderam o prazo (ou o período de carência adicional de 14 dias ). Em 2021, apenas um bug excedeu o prazo de correção, embora 14% dos bugs tenham precisado do período de carência. As diferenças no tempo que um fornecedor leva para enviar uma correção aos usuários refletem o design do produto, práticas de desenvolvimento, rismo de atualização e processos gerais para seus relatórios de segurança”.
Entre 2019 e 2021, o Project Zero relatou
- 376 problemas aos fornecedores com o prazo padrão de 90 dias para correção;
- 351 (93,4%) desses bugs foram corrigidos, enquanto
- 14 (3,7%) foram marcados como WontFix pelos fornecedores e
- 11 (2,9%) outros bugs permanecem sem correção, embora no momento da publicação do relatório
- 8 passaram do prazo para serem corrigidos;
- 3 restantes ainda estão dentro do prazo para serem corrigidos
A maioria das vulnerabilidades está agrupada em torno de alguns fornecedores, com
- 96 bugs (26%) relatados à Microsoft
- 85 (23%) à Apple e
- 60 (16%) ao Google
Essa agregação e análise de dados segundoSchoen é relativamente nova para o Project Zero, “mas esperamos fazer mais no futuro. Incentivamos todos os fornecedores a considerar a publicação de dados agregados sobre seu tempo de correção e tempo de correção para vulnerabilidades relatadas externamente, bem como mais compartilhamento de dados e transparência em geral”.
Foram analisadas correções de bugs registrados entre janeiro de 2019 e dezembro de 2021 (2019 é o ano em que o projeto fez alterações nas políticas de divulgação e também quando começou a registrar métricas mais detalhadas sobre os bugs). Os dados estão disponíveis publicamente no Project Zero Bug Tracker e em vários repositórios de projetos de código aberto (no caso dos dados usados abaixo para rastrear a linha do tempo de bugs de navegador de código aberto).
FONTE: CISO ADVISOR