Project Zero, il team di Google dedicato alla sicurezza software, ha condiviso alcuni interessanti dati sulle vulnerabilità scoperte nei programmi – suoi e della concorrenza – dal 2019 al 2021, conditi da alcune interessanti considerazioni.
di Manolo De Agostini pubblicata il 11 Febbraio 2022, alle 14:31 nel canale Sicurezza
Project Zero, il team di Google impegnato nell’analisi dei software per scovare falle zero day, ha fatto il punto sul periodo 2019-2021 rivelando informazioni piuttosto interessanti sulla sua attività e la risposta delle software house. Anzitutto, le aziende analizzate hanno impiegato una media di 52 giorni a risolvere le falle di sicurezza segnalate da Project Zero. Si tratta di un passo avanti rispetto agli 80 giorni richiesti 3 anni fa.
“Oltre al fatto che la media ora è ben al di sotto della scadenza di 90 giorni, abbiamo anche assistito a un calo delle aziende che non rispettano la scadenza (o l’ulteriore periodo “di grazia” di 14 giorni). Nel 2021, solo un bug ha superato la scadenza prima di essere corretto, mentre il 14% ha richiesto il periodo di grazia ulteriore per essere risolto”.
Tra il 2019 e il 2021 Google Project Zero ha segnalato 376 falle di sicurezza: il 93,4% è stato risolto entro i 90 giorni che il settore si è dato come buona regola prima di rendere note le falle (la cosiddetta disclosure). Come si può vedere dalla seguente tabella, la maglia nera nel risolvere i bug entro il periodo dei 104 giorni è Oracle, anche se con poche vulnerabilità (7). A seguire Microsoft, avendo superato il numero di giorni concessi con 4 delle 80 falle identificate.
| Azienda | Bug totali | Risolti entro 90 giorni | Risolti nel periodo di grazia | Oltre la scadenza e il periodo di grazia | Giorni medi per risolverli |
| Apple | 84 | 73 (87%) | 7 (8%) | 4 (5%) | 69 |
| Microsoft | 80 | 61 (76%) | 15 (19%) | 4 (5%) | 83 |
| 56 | 53 (95%) | 2 (4%) | 1 (2%) | 44 | |
| Linux | 25 | 24 (96%) | 0 (0%) | 1 (4%) | 25 |
| Adobe | 19 | 15 (79%) | 4 (21%) | 0 (0%) | 65 |
| Mozilla | 10 | 9 (90%) | 1 (10%) | 0 (0%) | 46 |
| Samsung | 10 | 8 (80%) | 2 (20%) | 0 (0%) | 72 |
| Oracle | 7 | 3 (43%) | 0 (0%) | 4 (57%) | 109 |
| Altri | 55 | 48 (87%) | 3 (5%) | 4 (7%) | 44 |
| TOTALE | 346 | 294 (84%) | 34 (10%) | 18 (5%) | 61 |
“Nel complesso, i dati mostrano che quasi tutti i grandi fornitori di software risolvono i problemi in media in meno di 90 giorni. La maggior parte dei fix durante il periodo di grazia proviene da Apple e Microsoft (22 su 34 in totale)“.
| Azienda | Bug nel 2019 (giorni medi per risolverli) | Bug nel 2020 (giorni medi per risolverli) | Bug nel 2021 (giorni medi per risolverli) |
| Apple | 61 (71) | 13 (63) | 11 (64) |
| Microsoft | 46 (85) | 18 (87) | 16 (76) |
| 26 (49) | 13 (22) | 17 (53) | |
| Linux | 12 (32) | 8 (22) | 5 (15) |
| Altri | 54 (63) | 35 (54) | 14 (29) |
| TOTALE | 199 (67) | 87 (54) | 63 (52) |
In media, sono necessari circa 61 giorni per intervenire sulle vulnerabilità. “Possiamo vedere che il tempo complessivo per risolvere i problemi è costantemente diminuito, ma in modo più significativo tra il 2019 e il 2020. Microsoft, Apple e Linux hanno ridotto il loro tempo d’intervento, mentre Google ha accelerato nel 2020 prima di rallentare di nuovo nel 2021. Forse la cosa più impressionante è che gli altri non rappresentati nella tabella hanno collettivamente ridotto i loro tempi di risoluzione di oltre la metà”, spiega Google ammettendo però che il dato potrebbe essere legato a un “cambiamento negli obiettivi di ricerca” piuttosto che alle pratiche di una particolare azienda.
Focalizzandosi sul solo 2021, solo in un caso è stata superata la scadenza rispetto alla media di 9 volte all’anno negli anni precedenti. “Il periodo di grazia è stato usato 9 volte (la metà delle volte da Microsoft), rispetto a una media di 12,5 negli altri anni”.
Per quanto riguarda i sistemi operativi mobile, è interessante rilevare come iOS abbia ricevuto più report di bug da Google Project Zero rispetto a qualsiasi versione di Android. Qualcuno potrebbe maliziosamente pensare che in casa Google hanno puntato maggiormente l’attenzione su iOS rispetto ad Android, ma il team di Project Zero scarta questa ricostruzione.
| Azienda | Bug totali | Tempo medio per risolverli |
| iOS | 76 | 70 |
| Android (Samsung) | 10 | 72 |
| Android (Pixel) | 6 | 72 |
“Piuttosto che uno squilibrio nella selezione degli obiettivi di ricerca, questo è più un riflesso di come Apple distribuisce il software. Gli aggiornamenti di sicurezza per “app” come iMessage, Facetime e Safari/WebKit vengono tutti forniti come parte degli aggiornamenti del sistema operativo, quindi li includiamo nell’analisi del sistema operativo. D’altra parte, gli aggiornamenti di sicurezza per le app standalone su Android avvengono tramite il Google Play Store, quindi non sono inclusi in questa analisi”.
Fatta questa puntualizzazione, si nota come tutte e tre le aziende analizzate impieghino un tempo medio piuttosto simile nella risoluzione dei problemi.
| Browser | Bug | Giorni medi dalla segnalazione alla patch pubblica | Giorni medi dalla patch pubblica alla diffusione | Giorni medi dalla segnalazione alla diffusione |
| Chrome | 40 | 5,3 | 24,6 | 29,9 |
| WebKit | 27 | 11,6 | 61,1 | 72,7 |
| Firefox | 8 | 16,6 | 21,1 | 37,8 |
| TOTALE | 75 | 8,8 | 37,3 | 46,1 |
Passando ai browser open source, emerge che Chrome è il browser che riceve fix nel canale stabile con maggiore celerità dopo la segnalazione di un problema: servono 30 giorni per raggiungere l’utente finale e solo 5 per risolvere il problema. Firefox è secondo con una media di 38 giorni, mentre WebKit chiude con 74 giorni. In questo caso il problema non è il tempo di sviluppo del fix, ma il tempo entro cui viene integrato in una build e diffuso al pubblico.
In conclusione, Project Zero rileva che nel caso di Google, in particolare Chrome, il ciclo di rilascio rapido di nuove build aiuta a mantenere il software aggiornato in tempi ridotti. “Nel caso di Apple siamo soddisfatti dell’accelerazione nell’arrivo delle patch, nonché del mancato utilizzo dei periodi di grazia e della mancanza di scadenze non rispettate. Per WebKit in particolare, speriamo di vedere una riduzione del tempo necessario tra il confezionamento di una patch e la distribuzione agli utenti, soprattutto perché la sicurezza di WebKit riguarda tutti i browser utilizzati in iOS, poiché WebKit è l’unico motore browser consentito”.
Infine, per quanto concerne Microsoft, il team ritiene che le tempistiche dilatate ravvisate siano conseguenza della cadenza mensile degli aggiornamenti del “Patch Tuesday”, il che può rendere più difficile per i team di sviluppo rispettare una scadenza di divulgazione. “Ci auguriamo che Microsoft possa prendere in considerazione l’implementazione di una cadenza più frequente per problemi di sicurezza o la ricerca di modi per semplificare ulteriormente i processi interni”.
Note: This article have been indexed to our site. We do not claim legitimacy, ownership or copyright of any of the content above. To see the article at original source Click Here
Stanley Quencher H2.0 Tumbler with Straw 14 oz | Twist On 3-Way Lid | Cupholder Compatible for Travel | Insulated Stainless Steel Cup | BPA-Free | Ash
$20.00 (as of December 17, 2024 19:11 GMT +00:00 - More infoProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Sywhitta 3-Tier Plastic Rolling Utility Cart with Handle, Multi-Functional Storage Trolley for Office, Living Room, Kitchen, Movable Storage Organizer with Wheels, Black
$25.97 (as of December 17, 2024 19:11 GMT +00:00 - More infoProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
AI Hand Warmers Rechargeable 2 Pack, 6000mAh Electric Hand Warmers, AI Smart Chips 20Hrs Long Safe Heat, Portable Pocket Heater, Gifts for Christmas, Outdoor, Golf, Hunting, Camping Accessories
$29.99 (as of December 17, 2024 19:32 GMT +00:00 - More infoProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
TOSY Flying Disc - 16 Million Color RGB or 36 LEDs, Extremely Bright, Smart Modes, Auto Light Up, Rechargeable, Cool Fun Christmas, Birthday & Camping Gift for Men/Boys/Teens/Kids, 175g Frisbee
$31.97 (as of December 17, 2024 19:32 GMT +00:00 - More infoProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
