Les développeurs Linux corrigent les failles de sécurité plus rapidement qu'Apple, Google ou même Microsoft,

Selon un rapport du Google Project Zero

L'équipe Google de recherche sur la sécurité, Project Zero, a indiqué que les développeurs de Linux corrigent les bogues de sécurité plus rapidement que quiconque, y compris Google. Selon elle, en 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées par Project Zero. Il s'agit d'une accélération significative par rapport à une moyenne d'environ 80 jours il y a 3 ans.

Outre le fait que la moyenne est désormais bien inférieure au délai de 90 jours, l'équipe a également constaté une baisse du nombre de fournisseurs qui ne respectent pas le délai (ou le délai de grâce supplémentaire de 14 jours). En 2021, un seul bogue a dépassé son délai de correction, bien que 14 % des bogues aient nécessité le délai de grâce. Les différences dans le temps nécessaire à un fournisseur/produit pour envoyer un correctif aux utilisateurs reflètent la conception de leur produit, les pratiques de développement, la cadence de mise à jour et les processus généraux vers les rapports de sécurité.

« Depuis près de dix ans, le projet Zero de Google s'efforce de rendre plus difficile pour les acteurs malveillants de trouver et d'exploiter les vulnérabilités de sécurité, améliorant considérablement la sécurité d'Internet pour tous. Au cours de cette période, nous nous sommes associés à des personnes de l'industrie pour transformer la façon dont les organisations hiérarchisent et abordent la résolution des vulnérabilités de sécurité et la mise à jour des logiciels des utilisateurs.

« Pour aider à contextualiser les changements que nous voyons l'écosystème opérer, nous avons examiné l'ensemble des vulnérabilités signalées par Project Zero, comment une gamme de fournisseurs y ont répondu, puis avons tenté d'identifier les tendances dans ces données, telles que la façon dont l'industrie dans son ensemble corrige les vulnérabilités plus rapidement.

« Pour cet article, nous examinons les bogues corrigés qui ont été signalés entre janvier 2019 et décembre 2021 (2019 est l'année où nous avons apporté des modifications à nos politiques de divulgation et avons également commencé à enregistrer des mesures plus détaillées sur nos bogues signalés). Les données auxquelles nous ferons référence sont accessibles au public sur Project Zero Bug Tracker et sur divers référentiels de projets open source (dans le cas des données utilisées ci-dessous pour suivre la chronologie des bogues de navigateur open source).

« Nos données comportent un certain nombre de mises en garde, la plus importante étant que nous examinerons un petit nombre d'échantillons, de sorte que les différences de nombre peuvent ou non être statistiquement significatives. De plus, la direction de la recherche de Project Zero est presque entièrement influencée par les choix des chercheurs individuels, de sorte que des changements dans nos objectifs de recherche pourraient modifier les paramètres autant que des changements dans les comportements des fournisseurs. Autant que possible, cet article est conçu pour être une présentation objective des données, avec une analyse subjective supplémentaire incluse à la fin ».

Project Zero a donc examiné les bogues corrigés qui avaient été signalés entre janvier 2019 et décembre 2021. Les chercheurs ont découvert que les développeurs open source corrigeaient les problèmes Linux en seulement 25 jours en moyenne. De plus, les développeurs de Linux ont amélioré leur vitesse de correction des failles de sécurité, passant de 32 jours en 2019 à seulement 15 en 2021.

Ses concurrents n'ont pas fait aussi bien. Par exemple, Apple, 69 jours ; Google, 44 jours ; et Mozilla, 46 jours. Microsoft, 83 jours, et Oracle, bien qu'avec seulement une poignée de problèmes de sécurité, avec 109 jours. Selon le décompte de Project Zero, d'autres, qui comprenaient principalement des organisations et des entreprises open source telles qu'Apache, Canonical, Github et Kubernetes, sont arrivés avec un délai respectable de 44 jours.


En règle générale, tout le monde corrige plus rapidement les bogues de sécurité. En 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées. Il y a seulement trois ans, la moyenne était de 80 jours. En particulier, l'équipe de Project Zero a noté que Microsoft, Apple et Linux ont tous considérablement réduit leur temps de réparation au cours des deux dernières années.

Systèmes d'exploitation mobile

En ce qui concerne les systèmes d'exploitation mobiles, Apple iOS avec une moyenne de 70 jours s'en sort un peu mieux qu'Android avec ses 72 jours. D'un autre côté, iOS avait beaucoup plus de bogues, 72, qu'Android avec ses 10 problèmes signalés par l'équipe de sécurité.

« La première chose à noter est qu'il semble qu'iOS ait reçu remarquablement plus de rapports de bogues de Project Zero que n'importe quelle saveur d'Android pendant cette période, mais plutôt qu'un déséquilibre dans la sélection des cibles de recherche, cela reflète davantage la façon dont Apple livre les logiciels. Les mises à jour de sécurité pour les "applications" telles que iMessage, Facetime et Safari/WebKit sont toutes fournies dans le cadre des mises à jour du système d'exploitation, nous les incluons donc dans l'analyse du système d'exploitation. D'autre part, les mises à jour de sécurité pour les applications autonomes sur Android sont effectuées via le Google Play Store, elles ne sont donc pas incluses ici dans cette analyse.

« Malgré cela, les trois fournisseurs ont un temps moyen de réparation extraordinairement similaire. Avec les données dont nous disposons, il est difficile de déterminer combien de temps est consacré à chaque partie du cycle de vie de la vulnérabilité (par exemple, triage, création de correctifs, tests, etc.). Cependant, les produits open source offrent une fenêtre sur l'endroit où le temps est passé ».


Navigateurs

Les problèmes de navigateurs sont également résolus à un rythme plus rapide. Chrome a résolu ses 40 problèmes en un peu moins de 30 jours en moyenne. Mozilla Firefox, avec seulement 8 failles de sécurité, les a corrigées en 37,8 jours en moyenne. Webkit, le moteur de navigateur Web d'Apple, qui est principalement utilisé par Safari, a un bilan bien plus médiocre. Les programmeurs de Webkit mettent en moyenne plus de 72 jours pour corriger les bogues.


« Pour la plupart des logiciels, nous ne sommes pas en mesure d'approfondir les détails de la chronologie. Plus précisément : après qu'un fournisseur a reçu un rapport sur un problème de sécurité, combien de "temps de résolution" est passé entre le rapport de bogue et la production du correctif, et combien de temps est passé entre la production de ce correctif et la publication d'une version avec le correctif ? La seule fenêtre que nous avons est celle des logiciels open source, et spécifique au type de recherche de vulnérabilité que fait Project Zero, les navigateurs open source ».


Le tableau et le graphique mis ensemble peuvent nous dire quelques choses :
[LIST][*]Chrome est actuellement le plus rapide des trois navigateurs pour ce qui concerne les corrections des vulnérabilités signalées par Project Zero, avec un délai de 30 jours entre le rapport de bogue et la publication d'un correctif dans le canal stable. Le temps de patch est très rapide ici, avec seulement 5 jours en moyenne entre le rapport de bogue et la publication du patch en public. L'heure à laquelle ce patch doit être rendu public est la majeure partie de la fenêtre temporelle globale, bien que dans l'ensemble, nous voyions toujours les barres de Chrome (bleues) de l'histogramme vers le côté gauche de l'histogramme. (Remarque[/*]...