En 2021, les éditeurs de logiciels ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées par le Project Zero de Google, créé en 2014 pour identifier et étudier les failles de sécurité dites « 0 days », explique-t-il sur son blog. « Il s'agit d'une accélération significative par rapport à une moyenne d'environ 80 jours il y a 3 ans », lorsque Google a commencé à agréger ce type de statistiques.
Entre 2019 et 2021, Project Zero a signalé 376 problèmes aux éditeurs. 351 (93,4 %) de ces bogues ont été corrigés, tandis que 14 (3,7%) ont été marqués comme « WontFix » par le fournisseur. 11 (2,9 %) restent non corrigés, dont 8 ayant dépassé les 90 jours ainsi que le délai de grâce de 14 jours supplémentaires pour être corrigés ; les 3 restants sont encore dans les délais.
La plupart des vulnérabilités sont regroupées autour de quelques fournisseurs, avec 96 bogues (26 %) signalés à Microsoft, 85 (23 %) à Apple et 60 (16 %) à Google. Avec un seul bug non corrigé après la période de grâce, et 24 corrigés en moyenne en 25 jours, Linux semble le plus rapide. La majeure partie des correctifs pendant la période de grâce proviennent par ailleurs d'Apple et Microsoft (22 sur 34 au total).
Commentaires (2)
#1
”…délai de grâce…période de grâce…”
De quelle religion s’agit-il ?
#2
la religion des (logiciels) “parfaits” ?