Kali Linux, distribuição focada em segurança, está mais bonita e funcionalComo instalar o Ubuntu [Linux]
O objetivo do Project Zero é tornar a internet mais segura, de acordo com o Google. Assim, quando descobrem uma falha de segurança, os analistas do Project Zero notificam a organização responsável pelo serviço ou software vulnerável e dão um prazo de 90 dias antes de os detalhes sobre o problema serem liberados publicamente.
Correções para Linux em 25 dias, a menor média
A maioria das organizações notificadas respeita esse prazo. Mas é claro que, quanto antes a solução for apresentada, melhor. Com relação a esse ponto, os desenvolvedores do kernel Linux foram examplares. No período entre janeiro de 2019 e dezembro de 2021, eles corrigiram 96% dos problemas dentro de 90 dias e, em média, levaram 25 dias para apresentar as soluções. O próprio Google e a Mozilla aparecem na sequência com médias de 44 e 46 dias, respectivamente. No ranking do Project Zero, a Microsoft surge na penúltima posição, com uma média de 83 dias. Mas é importante levar em conta que companhia é uma das que tiveram mais bugs reportados: ao todo, 80 entre 2019 e 2021, com 61 deles sendo solucionados dentro de 90 dias (o Linux registrou 25 vulnerabilidades no período). Ainda sobre a Microsoft, os analistas do Project Zero explicam que o tempo médio longo de correção pode ter relação com o fato de a empresa liberar muitas de suas atualizações dentro do cronograma do Patch Tuesday, quando um pacote de updates de segurança é disponibilizado na segunda terça-feira de cada mês. Em quantidade de bugs, a Apple foi a campeã, com 84 falhas reportadas, das quais 73 foram corrigidas dentro do prazo de 90 dias. Em média, a companhia de Cupertino gastou 69 dias para providenciar as correções. Na última posição do ranking está a Oracle, que teve apenas sete falhas reportadas, mas corrigiu apenas três dentro do prazo de 90 dias. A companhia registrou uma média de 109 dias para corrigir os problemas.
Chrome é o navegador que teve mais bugs
O Project Zero considera softwares de vários tipos, mas há uma preocupação especial com navegadores. Pois bem, o relatório aponta que o Chrome é o browser que mais teve bugs reportados no período entre 2019 e 2021: 40. Em compensação, o tempo médio para as correções serem apresentadas pelo Google foi de apenas 30 dias. O WebKit (motor do Safari) aparece na sequência com 27 bugs reportados e tempo médio de correção de 73 dias. A situação mais confortável é a do Firefox, que teve apenas oito bugs reportados e média de 38 dias para a apresentação das soluções.
Tempo médio de correção vem melhorando
Uma constatação importante feita pelos analistas do Project Zero é a de que o tempo médio para as organizações apresentarem soluções para as vulnerabilidades reportadas vem caindo. Em 2021, essa medida ficou em 52 dias, contra a média de 80 dias registrada em 2018. Outra percepção positiva é a de que o número de bugs não corrigidos dentro do prazo caiu. Ainda nesse sentido, o Google observa que apenas 14% das falhas foram corrigidas dentro da carência (um período adicional de 14 dias após o prazo de 90 dias que pode ser dado se o desenvolvedor confirmar que a correção está a caminho). O relatório completo está disponível no blog do Project Zero.