Comunidade Linux é a mais rápida em corrigir bugs reportados, aponta Google

Relatório do Google Project Zero mostra que desenvolvedores do Linux são os mais ágeis em corrigir falhas, com média de apenas 25 dias

Emerson Alecrim
Por

Criado em 2014, o Project Zero é uma iniciativa do Google que identifica falhas de segurança em softwares, notifica os responsáveis e dá um prazo para as correções serem providenciadas. Essa dinâmica permite à companhia identificar quais organizações são mais e menos ágeis nesse trabalho. O último relatório mostra que os desenvolvedores do Linux são os mais rápidos; Oracle e Microsoft, as empresas mais lentas.

Tux no Ubuntu Linux (imagem ilustrativa: Emerson Alecrim/Tecnoblog)
Tux no Ubuntu Linux (imagem ilustrativa: Emerson Alecrim/Tecnoblog)

O objetivo do Project Zero é tornar a internet mais segura, de acordo com o Google. Assim, quando descobrem uma falha de segurança, os analistas do Project Zero notificam a organização responsável pelo serviço ou software vulnerável e dão um prazo de 90 dias antes de os detalhes sobre o problema serem liberados publicamente.

Correções para Linux em 25 dias, a menor média

A maioria das organizações notificadas respeita esse prazo. Mas é claro que, quanto antes a solução for apresentada, melhor. Com relação a esse ponto, os desenvolvedores do kernel Linux foram examplares.

No período entre janeiro de 2019 e dezembro de 2021, eles corrigiram 96% dos problemas dentro de 90 dias e, em média, levaram 25 dias para apresentar as soluções. O próprio Google e a Mozilla aparecem na sequência com médias de 44 e 46 dias, respectivamente.

No ranking do Project Zero, a Microsoft surge na penúltima posição, com uma média de 83 dias. Mas é importante levar em conta que companhia é uma das que tiveram mais bugs reportados: ao todo, 80 entre 2019 e 2021, com 61 deles sendo solucionados dentro de 90 dias (o Linux registrou 25 vulnerabilidades no período).

Ainda sobre a Microsoft, os analistas do Project Zero explicam que o tempo médio longo de correção pode ter relação com o fato de a empresa liberar muitas de suas atualizações dentro do cronograma do Patch Tuesday, quando um pacote de updates de segurança é disponibilizado na segunda terça-feira de cada mês.

Em quantidade de bugs, a Apple foi a campeã, com 84 falhas reportadas, das quais 73 foram corrigidas dentro do prazo de 90 dias. Em média, a companhia de Cupertino gastou 69 dias para providenciar as correções.

Na última posição do ranking está a Oracle, que teve apenas sete falhas reportadas, mas corrigiu apenas três dentro do prazo de 90 dias. A companhia registrou uma média de 109 dias para corrigir os problemas.

Total de bugsCorrigidos em 90 diasCorrigidos na carênciaPrazo excedidoMédia de dias
Apple8473 (87%)7 (8%)4 (5%)69
Microsoft8061 (76%)15 (19%)4 (5%)83
Google5653 (95%)2 (4%)1 (2%)44
Linux2524 (96%)0 (0%)1 (4%)25
Adobe1915 (79%)4 (21%)0 (0%)65
Mozilla109 (90%)1 (10%)0 (0%)46
Samsung108 (80%)2 (20%)0 (0%)72
Oracle73 (43%)0 (0%)4 (57%)109
Outros5548 (87%)3 (5%)4 (7%)44
Total346294 (84%)34 (10%)18 (5%)61

Chrome é o navegador que teve mais bugs

O Project Zero considera softwares de vários tipos, mas há uma preocupação especial com navegadores. Pois bem, o relatório aponta que o Chrome é o browser que mais teve bugs reportados no período entre 2019 e 2021: 40. Em compensação, o tempo médio para as correções serem apresentadas pelo Google foi de apenas 30 dias.

O WebKit (motor do Safari) aparece na sequência com 27 bugs reportados e tempo médio de correção de 73 dias.

A situação mais confortável é a do Firefox, que teve apenas oito bugs reportados e média de 38 dias para a apresentação das soluções.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog)
Google Chrome (imagem: Emerson Alecrim/Tecnoblog)

Tempo médio de correção vem melhorando

Uma constatação importante feita pelos analistas do Project Zero é a de que o tempo médio para as organizações apresentarem soluções para as vulnerabilidades reportadas vem caindo. Em 2021, essa medida ficou em 52 dias, contra a média de 80 dias registrada em 2018.

Outra percepção positiva é a de que o número de bugs não corrigidos dentro do prazo caiu. Ainda nesse sentido, o Google observa que apenas 14% das falhas foram corrigidas dentro da carência (um período adicional de 14 dias após o prazo de 90 dias que pode ser dado se o desenvolvedor confirmar que a correção está a caminho).

O relatório completo está disponível no blog do Project Zero.

Relacionados

Relacionados