Comunidade Linux é a mais rápida em corrigir bugs reportados, aponta Google

Criado em 2014, o Project Zero é uma iniciativa do Google que identifica falhas de segurança em softwares, notifica os responsáveis e dá um prazo para as correções serem providenciadas. Essa dinâmica permite à companhia identificar quais organizações são mais e menos ágeis nesse trabalho. O último relatório mostra que os desenvolvedores do Linux são os mais rápidos; Oracle e Microsoft, as empresas mais lentas.

• Kali Linux, distribuição focada em segurança, está mais bonita e funcional
• Como instalar o Ubuntu [Linux]

O objetivo do Project Zero é tornar a internet mais segura, de acordo com o Google. Assim, quando descobrem uma falha de segurança, os analistas do Project Zero notificam a organização responsável pelo serviço ou software vulnerável e dão um prazo de 90 dias antes de os detalhes sobre o problema serem liberados publicamente.

Correções para Linux em 25 dias, a menor média

A maioria das organizações notificadas respeita esse prazo. Mas é claro que, quanto antes a solução for apresentada, melhor. Com relação a esse ponto, os desenvolvedores do kernel Linux foram examplares.

No período entre janeiro de 2019 e dezembro de 2021, eles corrigiram 96% dos problemas dentro de 90 dias e, em média, levaram 25 dias para apresentar as soluções. O próprio Google e a Mozilla aparecem na sequência com médias de 44 e 46 dias, respectivamente.

No ranking do Project Zero, a Microsoft surge na penúltima posição, com uma média de 83 dias. Mas é importante levar em conta que companhia é uma das que tiveram mais bugs reportados: ao todo, 80 entre 2019 e 2021, com 61 deles sendo solucionados dentro de 90 dias (o Linux registrou 25 vulnerabilidades no período).

Ainda sobre a Microsoft, os analistas do Project Zero explicam que o tempo médio longo de correção pode ter relação com o fato de a empresa liberar muitas de suas atualizações dentro do cronograma do Patch Tuesday, quando um pacote de updates de segurança é disponibilizado na segunda terça-feira de cada mês.

Em quantidade de bugs, a Apple foi a campeã, com 84 falhas reportadas, das quais 73 foram corrigidas dentro do prazo de 90 dias. Em média, a companhia de Cupertino gastou 69 dias para providenciar as correções.

Na última posição do ranking está a Oracle, que teve apenas sete falhas reportadas, mas corrigiu apenas três dentro do prazo de 90 dias. A companhia registrou uma média de 109 dias para corrigir os problemas.

Chrome é o navegador que teve mais bugs

O Project Zero considera softwares de vários tipos, mas há uma preocupação especial com navegadores. Pois bem, o relatório aponta que o Chrome é o browser que mais teve bugs reportados no período entre 2019 e 2021: 40. Em compensação, o tempo médio para as correções serem apresentadas pelo Google foi de apenas 30 dias.

O WebKit (motor do Safari) aparece na sequência com 27 bugs reportados e tempo médio de correção de 73 dias.

A situação mais confortável é a do Firefox, que teve apenas oito bugs reportados e média de 38 dias para a apresentação das soluções.

Tempo médio de correção vem melhorando

Uma constatação importante feita pelos analistas do Project Zero é a de que o tempo médio para as organizações apresentarem soluções para as vulnerabilidades reportadas vem caindo. Em 2021, essa medida ficou em 52 dias, contra a média de 80 dias registrada em 2018.

Outra percepção positiva é a de que o número de bugs não corrigidos dentro do prazo caiu. Ainda nesse sentido, o Google observa que apenas 14% das falhas foram corrigidas dentro da carência (um período adicional de 14 dias após o prazo de 90 dias que pode ser dado se o desenvolvedor confirmar que a correção está a caminho).

O relatório completo está disponível no blog do Project Zero.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade