Linuxはバグ修正の優等生、平均25日で修正ーーGoogleのProject Zero

末岡洋子
シェア

 Google(米Alphabet)のセキュリティチームProject Zeroは2月10日、過去2年間のゼロディ脆弱性に関するデータを公開した。Linuxは脆弱性の報告から修正までの期間が短く、平均して25日という。

 Project ZeroはGoogleが2014年に立ち上げたセキュリティチームで、ゼロデイ脆弱性を研究する研究者で構成される。インターネットの安全性とセキュリティの改善を目指し、モバイルOS、Webブラウザ、オープンソースライブラリなどの脆弱性を研究している。  今回、Project Zeroチームは2019年1月〜2021年12月間に報告されたバグを対象に動向をまとめた。データは自分達のProject Zero Bug Tracker、それにさまざまなオープンソースプロジェクトリポジトリで公開されているものを参照とした。なお、サンプル数が少ないことから、統計的にみて数字の違いが大きかったり小さかったりする点を留意している。

 Project Zeroではゼロディ脆弱性を告知してから開示まで90日の期限を設けている。90日を過ぎると脆弱性に対するパッチが公開されている場合は、その30日後に技術的詳細を、パッチ未公開の場合は告知から90日後に技術的詳細を開示するというポリシーを導入している。  期間中、Project Zeroは標準の90日ポリシーの下で376件の脆弱性をベンダーに告知した。そのうち、93.4%にあたる351件が修正されたが、14件(3.7%)は対応せずにクローズする「WontFix」、11件(2.9%)は未対応のままだった。未対応の11件のうち、8件は期限を過ぎているという。

 ベンダー別では、脆弱性が最も多い(26%にあたる96件)のは米Microsoft、次いで米Apple(85件、23%)、Google(60件、16%)という。  ベンダーやプロジェクト名が特定されているベンダーのうち、修正までの期限厳守については、Appleが84件でトップ、Microsoftは80件、Googleは56件、Linuxは25件だった。

 修正までに要した平均時間は61日。ベンダー/プロジェクト別では、Linuxが最も短く25日、次はGoogle(44日)、Mozilla(46日)の順。Linuxは90日内に95%のバグを修正し、期限を過ぎたものは1件しかなかった。また、Linuxの平均バグ修正時間を年別に見ると、2019年は32日、2020年は22日、2021年は15日、すべての年において最短だった。  ブラウザでは、バグが最も多かったのはChromeの80件、一方でパッチ公開までの時間が最も短いのもChromeで5.3日だった。Firefoxは8件、バグ報告からパッチ公開までの平均日数は16.6日だった。  このほか、モバイルOSなどについてもデータを公開している。

Google Project Zero
https://googleprojectzero.blogspot.com