Linux-Entwickler patchen schneller

Linux-Entwickler schließen Sicherheitslücken schneller als Entwickler bei Apple, Microsoft oder Google. Zu diesem Schluss kommt ein Beitrag im Blog von Googles Projekt Zero. In dem seit 2014 bestehenden Projekt vereint Google ein Team von Sicherheitsexperten auf der Suche nach Zero-Day-Verwundbarkeiten und deren Exploits.

Linux-Entwickler vorne

In dem Beitrag A walk through Project Zero metrics haben die Autoren Zahlen vom Januar 2019 bis zum Dezember 2021 über die Anzahl an Bugs und die Zeit bis zu deren Behebung ausgewertet. Sie kommen zu dem Schluss, dass Linux-Entwickler hier den besten Job machen, auch besser als Google selbst. Sie schlossen Sicherheitslücken im Schnitt nach 25 Tagen, während der Schnitt bei allen untersuchten Unternehmen über die drei Jahre bei 61 Tagen lag. Microsoft lag dabei auf dem vorletzten Platz mit 83 Tagen, das Schlusslicht bildet Oracle mit 109 Tagen.

Positive Entwicklung

Positiv zu bewerten ist, dass die Zeit bis zum Schließen von Sicherheitslücken in den drei ausgewerteten Jahren beständig abnahm. Benötigten Linux-Entwickler 2019 noch durchschnittlich 32 Tage, so sank diese Zahl 2020 auf 22 und 2021 auf 15 Tage. Auch das Überschreiten der 90-Tage-Deadline konnte bei den untersuchten Unternehmen gesenkt werden, sodass 2021 diese Deadline nur einmal überschritten wurde. Bei den Browsern von Google und Mozilla dauerte es im Schnitt 40 respektive 38 Tage zum Schließen von Sicherheitslücken.

Anzahl von Bugs und Tage bis zur Schließung 2019 – 2021 | Tabelle: Project Zero

Zu den untersuchten Unternehmen und Projekten gehören neben Linux, Apple, Microsoft und Google auch Adobe, Apache, ASWF, Avast, AWS, c-ares, Canonical, F5, Facebook, git, Github, glibc, gnupg, gnutls, gstreamer, haproxy, Hashicorp, insidesecure, Intel, Kubernetes, libseccomp, libx264, Logmein, Mozilla, Node.js, opencontainers, Oracle, QT, Qualcomm, RedHat, Reliance, Samsung, SCTPLabs, Signal, systemd, Tencent, Tor, udisks, usrsctp, Vandyke, VietTel, webrtc und Zoom.

Gründe für die Fortschritte

Als Grund für die schnellere Erledigung von Verwundbarkeiten sehen die Entwickler im Project Zero die Tatsache, dass verantwortungsvolle Offenlegungsrichtlinien zum De-facto-Standard in der Branche geworden sind. Sie vermuten zudem, dass die Anbieter aufgrund der zunehmenden Transparenz in der Branche voneinander gelernt haben, wie man am besten vorgeht.

Teilt den Beitrag, falls ihr mögt