Les développeurs Linux corrigent les failles de sécurité plus rapidement qu'Apple, Google ou même Microsoft,

Selon un rapport du Google Project Zero

L'équipe Google de recherche sur la sécurité, Project Zero, a indiqué que les développeurs de Linux corrigent les bogues de sécurité plus rapidement que quiconque, y compris Google. Selon elle, en 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées par Project Zero. Il s'agit d'une accélération significative par rapport à une moyenne d'environ 80 jours il y a 3 ans.

Outre le fait que la moyenne est désormais bien inférieure au délai de 90 jours, l'équipe a également constaté une baisse du nombre de fournisseurs qui ne respectent pas le délai (ou le délai de grâce supplémentaire de 14 jours). En 2021, un seul bogue a dépassé son délai de correction, bien que 14 % des bogues aient nécessité le délai de grâce. Les différences dans le temps nécessaire à un fournisseur/produit pour envoyer un correctif aux utilisateurs reflètent la conception de leur produit, les pratiques de développement, la cadence de mise à jour et les processus généraux vers les rapports de sécurité.

« Depuis près de dix ans, le projet Zero de Google s'efforce de rendre plus difficile pour les acteurs malveillants de trouver et d'exploiter les vulnérabilités de sécurité, améliorant considérablement la sécurité d'Internet pour tous. Au cours de cette période, nous nous sommes associés à des personnes de l'industrie pour transformer la façon dont les organisations hiérarchisent et abordent la résolution des vulnérabilités de sécurité et la mise à jour des logiciels des utilisateurs.

« Pour aider à contextualiser les changements que nous voyons l'écosystème opérer, nous avons examiné l'ensemble des vulnérabilités signalées par Project Zero, comment une gamme de fournisseurs y ont répondu, puis avons tenté d'identifier les tendances dans ces données, telles que la façon dont l'industrie dans son ensemble corrige les vulnérabilités plus rapidement.

« Pour cet article, nous examinons les bogues corrigés qui ont été signalés entre janvier 2019 et décembre 2021 (2019 est l'année où nous avons apporté des modifications à nos politiques de divulgation et avons également commencé à enregistrer des mesures plus détaillées sur nos bogues signalés). Les données auxquelles nous ferons référence sont accessibles au public sur Project Zero Bug Tracker et sur divers référentiels de projets open source (dans le cas des données utilisées ci-dessous pour suivre la chronologie des bogues de navigateur open source).

« Nos données comportent un certain nombre de mises en garde, la plus importante étant que nous examinerons un petit nombre d'échantillons, de sorte que les différences de nombre peuvent ou non être statistiquement significatives. De plus, la direction de la recherche de Project Zero est presque entièrement influencée par les choix des chercheurs individuels, de sorte que des changements dans nos objectifs de recherche pourraient modifier les paramètres autant que des changements dans les comportements des fournisseurs. Autant que possible, cet article est conçu pour être une présentation objective des données, avec une analyse subjective supplémentaire incluse à la fin ».

Project Zero a donc examiné les bogues corrigés qui avaient été signalés entre janvier 2019 et décembre 2021. Les chercheurs ont découvert que les développeurs open source corrigeaient les problèmes Linux en seulement 25 jours en moyenne. De plus, les développeurs de Linux ont amélioré leur vitesse de correction des failles de sécurité, passant de 32 jours en 2019 à seulement 15 en 2021.

Ses concurrents n'ont pas fait aussi bien. Par exemple, Apple, 69 jours ; Google, 44 jours ; et Mozilla, 46 jours. Microsoft, 83 jours, et Oracle, bien qu'avec seulement une poignée de problèmes de sécurité, avec 109 jours. Selon le décompte de Project Zero, d'autres, qui comprenaient principalement des organisations et des entreprises open source telles qu'Apache, Canonical, Github et Kubernetes, sont arrivés avec un délai respectable de 44 jours.


En règle générale, tout le monde corrige plus rapidement les bogues de sécurité. En 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées. Il y a seulement trois ans, la moyenne était de 80 jours. En particulier, l'équipe de Project Zero a noté que Microsoft, Apple et Linux ont tous considérablement réduit leur temps de réparation au cours des deux dernières années.

Systèmes d'exploitation mobile...