Project Zero โครงการค้นหาช่องโหว่ความปลอดภัยของซอฟต์แวร์ต่างๆ โดยทีมของกูเกิล เผยสถิติช่องโหว่ที่ค้นพบในปี 2019-2021 จำนวนรวม 346 รายการ

ทีม Project Zero ได้แยกช่องโหว่ตามบริษัทต้นสังกัดของซอฟต์แวร์นั้นๆ และเปรียบเทียบระยะเวลาเฉลี่ยที่บริษัทหรือองค์กรแก้ไขช่องโหว่ที่รายงาน

ผลคือ ลินุกซ์เป็นองค์กรที่มีระยะเวลาอุดช่องโหว่เร็วที่สุด ค่าเฉลี่ยอยู่ที่ 25 วัน แซงหน้ากูเกิลเจ้าของ Project Zero เองด้วยซ้ำ ที่มีระยะเวลาเฉลี่ย 44 วัน ตามด้วย Mozilla ที่ 46 วัน, Adobe 65 วัน, แอปเปิล 69 วัน, ซัมซุง 72 วัน, ไมโครซอฟท์ 83 วัน และช้าที่สุดออราเคิล 109 วัน (ยังมีหมวด Others ที่เป็นบริษัทอื่นที่มีจำนวนช่องโหว่รายงานผ่าน Project Zero ไม่เยอะนัก เช่น Facebook, AWS, Apache, Intel เฉลี่ยรวมกัน 44 วัน)

สถิติของ Project Zero ยังบอกว่าบริษัทส่วนใหญ่อุดช่องโหว่เกือบทั้งหมดสำเร็จภายใน 90 วัน + ช่วงต่อเวลาพิเศษ 14 วัน (grace period) โดยมีออราเคิลเพียงรายเดียวที่อุดช่องโหว่ไม่ทันกำหนด 4 ตัวจากทั้งหมด 7 ตัวที่รายงาน

ในแง่ระยะเวลาเฉลี่ยที่ใช้อุดช่องโหว่ก็รวดเร็วขึ้นด้วย ค่าเฉลี่ยของปี 2019 อยู่ที่ 67 วัน ซึ่งลดลงมาเยอะในปี 2020 เหลือ 54 วัน และปี 2021 ลดลงอีกหน่อยเหลือ 52 วัน

ถ้าแยกเฉพาะผู้พัฒนาเว็บเบราว์เซอร์ Chrome อุดช่องโหว่เร็วที่สุด 29.9 วัน (นับจากแจ้งไปจนถึงออกเวอร์ชันใหม่) ส่วน Safari ช้าที่สุด 72.7 วัน แต่ส่วนหนึ่งอาจเป็นเพราะรอบการออกของ Safari ช้ากว่าใครเพื่อนด้วย โดย Safari ออกแพตช์เฉลี่ยเร็วกว่า Firefox แต่ออกรุ่นช้ากว่า

ที่มา - Project Zero