Freie Software und Open Source
Die öffentliche Wahrnehmung von Open Source und freier Software ist in letzter Zeit stark gestiegen. Wir legen schon lange grossen Wert auf freie Software und verwenden sie überall, wo es ...
Die IT Security Forscher von Googles Project Zero haben für den Zeitraum von 2019 bis 2021 untersucht, wie schnell die Hersteller neu gefundene & ihnen gemeldete Sicherheitslücken behoben haben. Im Schnitt wurden die Lücken im Linux Kernel innerhalb 25 Tagen gepatcht. Bei Microsoft dauerte es mit durchschnittlich 83 Tagen mehr als 3 mal so lange. Am schlechtesten Schnitt Oracle mit 109 Tagen ab.
Vendor |
Total bugs |
Fixed by day 90 |
Fixed during |
Exceeded deadline & grace period |
Avg days to fix |
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Others* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
TOTAL |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Bei Mobiltelefonen der Hersteller Apple, Samsung & Google stehen die Updates im Schnitt nach 70 Tagen bereit:
Vendor |
Total bugs |
Avg fix time |
iOS |
76 |
70 |
Android (Samsung) |
10 |
72 |
Android (Pixel) |
6 |
72 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Die Browser-Hersteller sind da etwas schneller, Chrome wird nach 30 Tagen gepatcht, Firefox nach 38 Tagen:
Browser |
Bugs |
Avg days from bug report to public patch |
Avg days from public patch to release |
Avg days from bug report to release |
Chrome |
40 |
5.3 |
24.6 |
29.9 |
WebKit |
27 |
11.6 |
61.1 |
72.7 |
Firefox |
8 |
16.6 |
21.1 |
37.8 |
Total |
75 |
8.8 |
37.3 |
46.1 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Wir patchen unsere Server übrigens täglich, sobald die Patches der Hersteller freigegeben und getestet worden sind.