Разработчики Linux исправляют дыры в безопасности быстрее, чем кто-либо другой, утверждает Google Project Zero
Программисты Linux лучше справляются с исправлением дыр в безопасности, чем программисты Apple, Google и Microsoft.
Существует много споров по поводу того, что в последнее время Linux оказывается менее безопасным, чем проприетарные системы. Это чепуха. Но теперь есть неопровержимые факты от Google Project Zero, исследовательской группы Google по безопасности, показывающие, что разработчики Linux быстрее исправляют ошибки безопасности, чем кто-либо другой, включая Google.
Project Zero изучил исправленные ошибки, о которых сообщалось в период с января 2019 года по декабрь 2021 года. Исследователи обнаружили, что программисты с открытым исходным кодом исправляли проблемы Linux в среднем всего за 25 дней. Кроме того, разработчики Linux увеличили скорость исправления дыр в безопасности с 32 дней в 2019 году до всего 15 в 2021 году.
Его конкуренты не преуспели. Например, Apple — 69 дней; Google, 44 дня; и Mozilla — 46 дней. В самом низу оказались Microsoft (83 дня) и Oracle, хотя и с небольшим количеством проблем с безопасностью (109 дней). По подсчетам Project Zero, другие, в число которых входили в основном организации и компании с открытым исходным кодом, такие как Apache, Canonical, Github и Kubernetes, показали приличные 44 дня.
Как правило, все быстрее исправляют ошибки безопасности. В 2021 году поставщикам потребовалось в среднем 52 дня на устранение обнаруженных уязвимостей безопасности. Всего три года назад средний показатель составлял 80 дней. В частности, команда Project Zero отметила, что Microsoft, Apple и Linux значительно сократили время на исправление ошибок за последние два года.
Что касается мобильных операционных систем, Apple iOS со средним показателем 70 дней немного лучше, чем Android с его 72 днями. С другой стороны, в iOS было гораздо больше ошибок (72), чем в Android с 10 проблемами.
Проблемы с браузерами также решаются более быстрыми темпами. Chrome устранил 40 проблем в среднем менее чем за 30 дней. Mozilla Firefox, имеющий всего 8 дыр в безопасности, исправил их в среднем за 37,8 дней. Webkit, движок веб-браузера Apple, который в основном используется в Safari, имеет гораздо худшую репутацию. Программистам Webkit на исправление ошибок требуется в среднем более 72 дней.
Project Zero дает разработчикам 90 дней на устранение проблем безопасности. Помимо того, что средний показатель сейчас значительно ниже 90-дневного срока, команда также заметила снижение числа поставщиков, не уложившихся в срок или дополнительный 14-дневный льготный период.
В прошлом году только одна ошибка, проблема безопасности Google Android, превысила срок исправления, хотя 14% ошибок потребовали дополнительных двух недель. Тем не менее, сейчас все справляются с исправлением ошибок безопасности гораздо лучше, чем в прошлые годы.
Почему? Команда Project Zero подозревает, что это связано с тем, что «политика ответственного раскрытия информации стала де-факто стандартом в отрасли, а поставщики имеют больше возможностей быстро реагировать на отчеты с разными сроками». Компании также перенимают передовой опыт друг у друга по мере повышения прозрачности. Во многом я приписываю это развитию методов разработки с открытым исходным кодом. Люди понимают, что исправлять ошибки вместе выгодно всем.