博雯 發自 凹非寺
量子位 | 公眾號 QbitAI
過去三年內,誰家程式設計師修Bug最強?
Linux。
谷歌如是說。因為在他們最新發布的安全漏洞修復報告中,Linux修一個Bug平均只要15天,所用時間最少:
(甚至比谷歌自家都要快)
上述資料來源於谷歌在2014年開展的零計劃(Project Zero)專案,由谷歌內部的頂級安全大佬參與,群專門對全世界的移動作業系統、 Web瀏覽器和開源庫進行漏洞發掘和研究。
在發現漏洞後,谷歌會向各大供應商報告這些漏洞,並定期追蹤報告的修復情況。
這次報告的時間從2019年到2021年,整體來看,各大廠程式設計師在修Bug上是越來越嫻熟了:
在3年前,平均三個月才能修完,還會有各種超過最後期限的拖延,到2021年就僅需52天,全年總共只有一個Bug超過了修復期限……
(別急,最後告訴你這個最強拖延症到底是誰)
接下來,我們就來公開處刑一下各大廠商的Bug修復情況。
Oracle最拖延,Chrome、iOS YYDS
首先,在過去3年內,谷歌共向全世界供應商們報告了376個問題,其中有93。4%已被修復,3。7%被標記為WontFix(不會修復),還有2。9%的Bug仍未被修復。
再來看看具體賽道。
報告首先祭出了令無數打工人心頭一顫的名詞,Deadline。
谷歌給出的標準修復期限是90天,寬限期14天,超過104天之後即被視為延遲。
從這一維度來看,大多數都能在104天內完成絕大多數Bug(90%以上)的修復,其中Oracle展現出了非常明顯的拖延症,即有超過一半(57%)的Bug都是在deadline之後修的:
不過,人家的Bug數也是最少的,總共只有7個……
Bug的平均修復時間也就是我們開頭放出的那張表,整體上大家的Bug都越修越快,Linux新的一年更是平均半個月(15天)就能修復。
不過也有個別廠商速度出現了倒退,比如報告的釋出人谷歌,2021年的報告修復天數比2020年多了一倍不止……
Web瀏覽器上,有一張Chrome、Webkit、Firefox三大瀏覽器從“漏洞公開”到“補丁釋出”所用的時間分佈圖:
可以看到,大多數情況下,Chrome在40天之內就能修好Bug,而Webkit的週期則拉得更長。
谷歌在報告中解釋到,由於Webkit是iOS平臺上唯一允許使用的瀏覽器引擎,其改動會影響到iOS中使用的所有瀏覽器,所以它的長週期也是可以理解的。
統計過去三年的平均修復天數,Chrome也是YYDS,只有30天左右:
報告裡提出,Chrome安全漏洞的快速修復時間或許與其本身的版本更新速度有關。
在移動作業系統中,iOS被報告的Bug數量最多,平均修復時間最短:
不過,蘋果會將iMessage、 Facetime和Safari/WebKit 等“應用程式”的安全更新也作為作業系統更新的一部分發布,因此,iOS的整體數量就顯得更多。
而由於Android的應用程式是透過Google Play Store進行安全更新的,因此谷歌並沒有將這些更新算入報告中。
One More Thing
最後,公佈一下谷歌零計劃選出的“最強拖延症”——來自Android在2021年9月2日釋出的漏洞,至此已有4個多月:
內容描述是vold’s incremental-fs APIs trust paths from system_server for mounting,一個和IncFS系統的信任路徑有關的問題……
嗯。
參考連結:
[1]https://googleprojectzero。blogspot。com/2022/02/a-walk-through-project-zero-metrics。html
[2]https://Bugs。chromium。org/p/project-zero/issues/list?colspec=ID%20Status%20Restrict%20Finder%20Reported%20Deadline%20Remaining%20CVE%20Vendor%20Product%20Summary&q=id%3E%3D2137%20Deadline%3DExceeded%20-Deadline-Grace&can=1