• 發布單位:TWCERT/CC
• 更新日期:2022-02-22
• 點閱次數:3304

Google 旗下的資安研究團隊 Project Zero，日前發表一分針對市場主流作業系統、軟硬體業者修補該單位提報資安漏洞所需時間的統計報告；報告中指出 Linux 開發者推出資安修補所需日數是最短的，平均為 25 日。

在這份報告中，Project Zero 統計了 2021 年各大主流作業系統暨軟硬體廠商，針對該單位發現並提報的資安漏洞，推出修補更新所需的日數。首先，各廠商推出修補的平均所需日數為 52 日，較三年前的 80 日大幅加速，顯見各廠商對資安漏洞的修補更加重視，並投入了大量資源。

報告中說，Project Zero 在 2019 到 2021 年間，一共向各廠商提報多達 376 個資安漏洞，並要求這些廠商按該單位設立的標準（90 日）內修復漏洞；其中有 351 個（93.4%）獲得修復、14 個（3.7%）被廠商回報列為不予修復（won’t fix）、11 個（2.9%）從未修復。

從漏洞修復的速度來看，這三年來各大廠商修復漏洞的速度多半都有加快，從 2019 年到 2021 年所需日數如下所示：

• Apple：71 天、63 天、64 天；
• Microsoft：85 天、87 天、76 天；
• Google：49 天、22 天、53 天；
• Linux：32 天、22 天、15 天；
• 其他：63 天、54 天、29 天。

而在未能於 90 日內修復提報漏洞的比例來看，近三年來比例最高的是 Oracle，有高達 57% 的漏洞都未能於 90 日再加 14 天最後期限的 104 日內修復；而 Apple 與 Micrsoft 則有 5%、Linux 有 4%、Google 有 2%，其他為 7%。