Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56696

• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:15 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 12:28 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,ноунейм, 16:48 , 14-Фев-22
      • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 18:37 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:16 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Онаним, 10:26 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,InuYasha, 10:37 , 14-Фев-22
      • Оценка оперативности устранения уязвимостей, обнаруженных Go...,IdeaFix, 12:37 , 22-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:16 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:30 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 11:55 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,A.Stahl, 13:43 , 14-Фев-22
      • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 14:22 , 14-Фев-22
        • Оценка оперативности устранения уязвимостей, обнаруженных Go...,A.Stahl, 16:11 , 14-Фев-22
          • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 16:30 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,InuYasha, 10:35 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Гуглист, 10:48 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:49 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,InuYasha, 15:08 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:49 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 12:08 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,AtillaFox, 08:19 , 15-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:48 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 10:57 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 11:42 , 14-Фев-22
      • Оценка оперативности устранения уязвимостей, обнаруженных Go...,ryoken, 14:12 , 14-Фев-22
        • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 18:05 , 14-Фев-22
        • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Kuromi, 20:17 , 15-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 11:10 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,лютый жабби__, 12:37 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 12:56 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Самокатофил, 13:02 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 11:11 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 12:14 , 14-Фев-22
    • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 13:06 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 12:26 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Ordu, 08:13 , 15-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,ranen, 12:42 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,., 15:53 , 14-Фев-22
  • Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 16:38 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Аноним, 14:37 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Kuromi, 18:53 , 14-Фев-22
• Оценка оперативности устранения уязвимостей, обнаруженных Go...,Kuromi, 18:55 , 14-Фев-22

>Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

Наверное, сурьезный консилиум собирают, а не тяп-ляп за 25 дней.

Консультируются с NSA, CIA.

Майкрософт и с фсб консультироваться может, возможно, на это больше всего времени уходит.

> на это больше всего времени уходит

Значит по выбросам в статистике можно предположить, что интересно консультантам?

> Медленнее всех исправление выпускала компания Microsoft

"не верь глазам своим". ибо в 1-й таблице это оракл (109 дней в среднем).

Вот только и по числу выявленных проблем оракл первый... с хвоста, наименьшее число проблем, а продукты у них так-то серьёзные.

Такие серьёзные, что обновления BIOS/прочие прошивки только при платной подписке за 500+ долеров. Даже для серверов Sun, которую они скупили и уничтожили.

Так у HP теперь то же самое :( И для старых копаков и альф, а pa-risc вообще никак. Как я обновлял и вообще приводил в чуыства b2600 - это просто боль :(

> Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

Дык майору же надо переписать бэкдор, скомпилять новые блобы, оттестить - это не так быстро.

>Среднее число дней до исправления

А нужно - медианное. Среднее - чуствительно к выбросам.

> Среднее - чуствительно к выбросам.

Это хорошо или плохо?

Плохо.

А я думал плохо то, что медиана и среднее арифметическое - это совершенно разные характеристики распределения

А это как раз хорошо, что разные.

А как сравнивать хорошесть совершенно разных характеристик, как сравнивать теплое с мягким?

Я еще понимаю, когда сравнивают медиану и среднее (мат.ожидание) для симметричного распределения, например, нормальное распределение, когда медиана и среднее совпадают и можно выбирать, с чем удобнее работать.

У GOOLAG главный WontFix - это техподдержка. Её просто НЕТ. Не логинится аккаунт? Попробуйте ещё раз потом. Завтра. Через неделю. Через год... Там сотрудники подразделяются на две категории - помидоры и роботы.

Потому что у гугла всё настолько отточено, что не может быть ошибок, поэтому и саппа нету. Если у тебя не логинится акк, то трабл у тебя, а не у гугла. У остальных же всё логинится.

Это не трабл. Это вы стали счастливым участником а/б тестирования новых фишек хрома.

Хреново гуглишь, gooглист.

https://news.ycombinator.com/item?id=30060405#30077431 человек просто провёл беглый поиск.

просто не пользуйтесь гуглём

>помидоры и роботы.

Зомби против растений

Химеры...

Ну хотя бы счёт за оказанные услуги по поиску багов не выставляют. Может введут оплату за дополнительные 30 дней отсрочки?

>УК РФ Статья 163. Вымогательство
>1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких

Товарищ майор, выпейте таблетки и закройте вкладку с опеннетом.

Проще: "нажмите (CMD|CTRL)-W".

Alt-F4

Лучше Alt + SysRq + O

Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти: с каждым годом раздуваются и операционки, и программы.

>Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти

а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

Мысль подтверждается наблюдением: заскорузлые легаси-помойки Оракл и Маздай на дне, а в Linux всё быстрее и быстрее правят дыры.

Чувак, у оракла и майкра юнитами все покрыто намного больше чем в ядре. Ядро с точки зрения тестирования поле не паханное. Ты, судя по всему, вообще не знаешь о чем говоришь.

>а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

Регулярный рефакторинг.
Всё лучше и лучше.

Взоржамши.

Поздравляю пользователей Apple, судя по этому списку - вы лучшие!

В отличие от андройда пользователи яблока обновления получат

Слышал про Pixel?

Средняя температура по больнице? не

Я вот никогда не понимал этого мема про среднюю температуру по больнице. То есть понятно, что с одной стороны из неё сложно делать какие-то осмысленные выводы, но это ровно до тех пор, пока ты не нарисуешь график средней температуры по больнице за последний год, не посмотришь корреляции этой средней температуры с интересными событиями по больнице, и не выяснишь, вероятно, что эта средняя температура является хорошим индикатором эпидемии гриппа в больнице. Или может ещё чего-то. На самом деле любые отклонения траектории от привычных колебаний будут хорошим поводом начать поиск причин этих отклонений, потому что это может снизить латенси в принятии решений главврачом.

Здесь тебе нарисовано этих средних аж целых три точки, по каждой категории. И явно виден тренд к снижению. Что это значит -- это вопрос. Например, здесь может работать закон Гудхарта[1], хоть я и не вижу, как. Но... эмм... для этого тебе и даны числа и описано откуда они взяты, чтобы ты сам мог бы подумать о том, какие выводы сделать.

[1] https://en.wikipedia.org/wiki/Goodhart%27s_law

Я лично затрудняюсь делать выводы, потому что только по трём компаниям набрано достаточно данных, чтобы о чём-то рассуждать. А остальные... Не, ну 25 точек по linux'у это о чём-то говорит, но только если их совокупно рассматривать, а если их разбить по годам, то там меньше 15 точек за год выходит, и всего три года, все эти результаты могут быть случайным выбросом. Хотя... не, ну тут надо считать, какова вероятность получить снижение два года подряд, ежели просто эти точки генерить рандомом по Пуассону? За один год получить снижение -- это 50/50, а если два снижения за два года?

Вот в целом, по всем если смотреть, то да, можно судить о том, что время реакции сокращается: чтобы получить случайным образом снижение в девяти категориях да ещё и два года подряд, это надо быть очень везучим человеком. Но по любому одному конкретно, кроме троицы Apple, MS, Google, я б не рискнул высказываться.

Chrome - 40
Firefox - 8
WebKit - 27
Интересно, такая разница в числе проблем! Ладно хром, но между WebKit и Firefox?

"нет браузера - нет проблем" (C)

А нафига Гуглу в чужом браузере проблемы искать? Это Мозилла пусть ищет. Ой, искать-то не кому, зарплата security team в зарплату Mitchel Baker пошла. Но проблемы Мозиллы Гугл не волнуют.

Firefox-8, нет браузера - нет проблем.

"Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox"

Тут еще надо учесть, что исправление безопасности практически сразу же (как только сделают патч) прилетает в Nightly, так что в ней выходит безопаснее всего сидеть, так как дыры ищут в релизных версиях, а на ночнушке эксплойты чаще всего не срабатывают.

Полагаю после того как Adobe похоронили Flash число уязвимостей им принадлежащих резко уменьшилось.