聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌 Project Zero 团队表示，在2021年报告的漏洞的平均修复耗时要比2019年少28天。

去年，硬件和软件厂商平均花费52天修复一个安全缺陷，大大低于90天的最后期限，比两年前的中位数80天也低。只有一个 bug 的平均修复耗时超过最后期限，14%的漏洞在修复方案发布前要求获得14天的宽限期。

透明度提高

Project Zero 团队成员 Ryan Schoen 表示，“我们认为这一趋势可能是因为负责任的披露策略已成为行业实践标准、以及厂商有能力快速应对漏洞报告促成的。我们还认为厂商得益于行业透明度提升，已互相学习最佳实践。”

不过，Schoen 提醒称，Project Zero 提交的漏洞报告得到快速处理是例外，“因为这些漏洞报告得到更快处理是因为存在实实在在的公开披露风险（如果最后期限条件不满足则报告遭公开），以及 Project Zero 是一个值得信任的可靠漏洞报告来源。”

2019年、2020年和2021年，Project Zero 团队共向厂商报告了376个漏洞，其中351(93.4%)个漏洞得到修复，厂商拒绝修复14个 (3.7%)个bug。” Linux 修复一个漏洞的平均耗时是25天，其次是谷歌（44天）、Mozilla（46天）。修复速度最慢的是 Oracle (109天，不过样本量为7个bug)、其次是微软（83天）和三星（72天）。

浏览器

在三大开源浏览器中，Chrome 修复速度最快，为30天，其次是Firefox（38天）和 Safari（73天）。Project Zerto 团队赞赏了谷歌推出的快速发布周期以及为其它稳定版本推出的安全更新，以及谷歌最近从六周的发布周期降低到四周。

谷歌Project Zerto 团队指出，苹果修复漏洞的速度也在加快，但WebKit补丁从推出到交付给用户耗时过长，导致“机会主义攻击者有大量时间找到补丁并在用户应用修复方案前利用。” 报告还提到，微软缓慢的修复速度是因为固定的每月星期二造成的。

创纪录的漏洞奖励计划赏金

谷歌还指出，2021年共通过其漏洞奖励计划（VRPs）向研究员发放创纪录的870万美元赏金。Chrome VRP 不仅覆盖了谷歌 Chrome 安全，还覆盖了基于 Chromium 上的其它多个浏览器，为333个漏洞报告支付了330万美元赏金，最高赏金是为发现 Chrome OS 漏洞的研究员发放4.5万美元赏金。

安卓VRP 支付赏金近300万美元，是2020年的两倍，其中颁发了史上最高赏金15.7万美元。

道德黑客共向慈善基金会捐赠超过30万美元。

推荐阅读

工控2月补丁星期二：西门子、施耐德电气修复近50个漏洞

PrinterLogic 厂商修复影响所有联网端点的3个RCE漏洞

苹果修复已遭利用0day，影响 iPhone、iPad 和 Mac

苹果发布 iOS 和 macOS 更新，修复已遭利用0day

原文链接

https://portswigger.net/daily-swig/google-project-zero-hails-dramatic-acceleration-in-security-bug-remediation

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~