bug bounty github pagou us$ 1 milhão em 2019

52 dias é a média dos fornecedores para corrigir falhas

Da Redação
13/02/2022

Em 2021, os fornecedores de software levaram, em média 52, dias para corrigir as vulnerabilidades de segurança informadas pelo Project Zero do Google. O número pode parecer ruim, mas ele indica um encurtamento significativo do prazo, já que três anos atrás a média era de cerca de 80 dias. Segundo post do líder do projeto, Ryan Schoen, “além da média agora estar bem abaixo do prazo de 90 dias , também observamos uma queda do número de fornecedores que não atenderam o prazo (ou o período de carência adicional de 14 dias ). Em 2021, apenas um bug excedeu o prazo de correção, embora 14% dos bugs tenham precisado do período de carência. As diferenças no tempo que um fornecedor leva para enviar uma correção aos usuários refletem o design do produto, práticas de desenvolvimento, rismo de atualização e processos gerais para seus relatórios de segurança”.

Entre 2019 e 2021, o Project Zero relatou

  • 376 problemas aos fornecedores com o prazo padrão de 90 dias para correção;
  • 351 (93,4%) desses bugs foram corrigidos, enquanto
  • 14 (3,7%) foram marcados como WontFix pelos fornecedores e
  • 11 (2,9%) outros bugs permanecem sem correção, embora no momento da publicação do relatório
  • 8 passaram do prazo para serem corrigidos;
  • 3 restantes ainda estão dentro do prazo para serem corrigidos

A maioria das vulnerabilidades está agrupada em torno de alguns fornecedores, com

  • 96 bugs (26%) relatados à Microsoft
  • 85 (23%) à Apple e
  • 60 (16%) ao Google

Essa agregação e análise de dados segundoSchoen é relativamente nova para o Project Zero, “mas esperamos fazer mais no futuro. Incentivamos todos os fornecedores a considerar a publicação de dados agregados sobre seu tempo de correção e tempo de correção para vulnerabilidades relatadas externamente, bem como mais compartilhamento de dados e transparência em geral”.

Veja isso
Siemens corrige falhas que poderiam derrubar PLCs
Apple contesta Google sobre vulnerabilidades do iOS

Foram analisadas correções de bugs registrados entre janeiro de 2019 e dezembro de 2021 (2019 é o ano em que o projeto fez alterações nas políticas de divulgação e também quando começou a registrar métricas mais detalhadas sobre os bugs). Os dados estão disponíveis publicamente no Project Zero Bug Tracker e em vários repositórios de projetos de código aberto (no caso dos dados usados ​​abaixo para rastrear a linha do tempo de bugs de navegador de código aberto).

Com agências de notícias internacionais

Compartilhar: