Softwareleveranciers lossen gemelde securityproblemen gemiddeld in 52 dagen op. Gevonden securityproblemen werden het afgelopen jaar wel sneller opgelost dan in 2019 en 2020.
Dat constateren securityonderzoekers van Google Project Zero. Onderzoekers informeren wanneer zij problemen vinden de leverancier, om ze een periode van 90 dagen te geven voor een oplossing. Hierbij wordt rekening gehouden met een uitstelperiode van 14 dagen, waarin de leveranciers moeten bevestigen dat de problemen na in totaal 104 dagen zijn opgelost.
Cijfers 2021 en eerder
Uit de cijfers over 2021 en de twee jaar daarvoor blijkt dat de meeste leveranciers nu 52 dagen nodig hebben voor het oplossen van gevonden securityproblemen in hun software. In 2020 was dit nog 54 dagen en in 2019 67 dagen. Apple en Microsoft doen het langst over het oplossen van securityproblemen, in het afgelopen jaar respectievelijk 63 en 76 dagen. Google zelf had vorig jaar gemiddeld 54 dagen nodig. Linux was met gemiddeld 15 dagen het snelst. In 2021 overschreed slechts één bugfix de limiet van 90 dagen. In 2020 en 2019 waren er dat nog gemiddeld negen.
Tussen 2019 en 2021 werden in totaal 376 bugs door Project Zero aan leveranciers gemeld. Inmiddels is meer dan 93 procent van deze securityproblemen opgelost en is 3 procent aangemerkt als een probleem dat niet zal worden opgelost. Verder zijn elf problemen nog niet opgelost en hebben er acht de deadline overschreden. Bij Microsoft werden de meeste securityproblemen geconstateerd, gevolgd door Apple en Google zelf. Overall in de afgelopen drie jaar doet Oracle met 109 dagen het langste over bugfixes, gevolgd door Microsoft (83 dagen) en Samsung (72 dagen). Opvallend is dat het bij Oracle om in totaal zeven bugs gaat.
Mobiele besturingssystemen en webbrowsers
De onderzoekers keken ook naar het aantal problemen rondom mobiele besturingssystemen en browsers. Hierbij werden er voor iOS de meeste gevonden, 76 in totaal, gevolgd door Samsung Android-devices, 10, en Google Picel-devices met 6.
Op het gebied van webbrowsers waren de meeste bugs voor Chrome, 40 en een gemiddelde patchperiode van 5,3 dagen. Webkit noteerde 27 bugs en een gemiddelde reparatieperiode van 11,6 dagen. Firefox had 8 bugs en een gemiddelde herstelperiode van 16,6 dagen.
Onderzoekers tevreden, meer transparantie gewenst
De onderzoekers van Project Zero zijn tevreden over de ontwikkelingen. De resultaten laten zien dat softwareleveranciers de meeste gevonden securityproblemen oplossen en dit ook steeds sneller doen. Ook hebben zij steeds vaker verantwoordelijke disclosure-policies, wat volgens Google standaard wordt in de software-industrie.
De onderzoekers roepen softwarebedrijven op een meer frequent patchplan voor securityproblemen op te stellen. Ook moeten zij vaker de geplande oplosperiode voor securityproblemen openbaar maken, zodat eindgebruikers weten waar ze toe aan zijn en de leveranciers hierop scherp kunnen houden. Meer transparantie, delen van informatie en het gebruik van best practices moet ervoor gaan zorgen dat software en het internet nog veiliger worden, aldus Project Zero.
9 uur geleden
