Les vulnérabilités sur Linux sont vite corrigées
Selon un rapport du Project Zero de Google, les développeurs chez Linux sont les plus rapides pour corriger les vulnérabilités qu’on leur signale. Plus lentes, les équipes de la plupart des fournisseurs logiciels, dont Apple, Google et Microsoft, publient toutefois des correctifs dans le délai standard de 90 jours.
Quel fournisseur logiciel est le plus réactif pour corriger des vulnérabilités? Le Project Zero, l'équipe de chercheurs en cybersécurité de Google, vient de publier un rapport sur la question. Les données se basent sur les failles découvertes et signalées par Project Zero entre janvier 2019 et décembre 2021.
Au cours de deux années prises en compte, les chercheurs en cybersécurité de Google ont signalé un total de 346 vulnérabilités, dont 84 concernent les solutions d’Apple, 80 celles de Microsoft, 56 celles de Google et 25 celles de Linux. Le rapport montre que les développeurs chez Linux sont les plus prompts à corriger les failles signalées, avec un délai de 25 jours en moyenne.Chez Google, ce délai passe à 44 jours. Il est en outre de 69 jours chez Apple et de 83 jours chez Microsoft. Oracle fait figure de mauvais élève, avec une moyenne de 109 jours (précisons que seuls 7 bugs ont été signalés à Oracle).
Project Zero souligne que lorsqu'un fournisseur reçoit un signalement, le délai standard dont il dispose pour publier un correctif est de 90 jours. Après quoi, la faille est révélée publiquement. Le fournisseur peut toutefois demander une période de grâce de 14 jours s'il confirme qu'il prévoit de publier le correctif dans ce délai. «Dans l'ensemble, les données montrent que la quasi-totalité des grands fournisseurs interviennent en moins de 90 jours, en moyenne. La majorité des corrections pendant une période de grâce proviennent d'Apple et de Microsoft (22 sur 34 au total)», analysent les équipes de Project Zero.
