neprihlásený Nedeľa, 27. novembra 2022, dnes má meniny Milan
Najrýchlejšie opravuje zraniteľnosti Linux

Značky: bezpečnosťLinux

DSL.sk, 20.2.2022


Z tvorcov rozličného populárneho softvéru opravujú bezpečnostné zraniteľnosti najrýchlejšie od nahlásenia vývojári Linuxu.

Vyplýva to zo štatistík Google Project Zero, tímu v Google hľadajúceho bezpečnostné zraniteľnosti v rozličných softvéroch.

Štatistiky boli vytvorené len zo zraniteľností objavených a nahlásených tímom Google Project Zero a nie všetkých zraniteľností v jednotlivých softvérových produktoch. Google Project Zero typicky objavuje najmä vážne zraniteľnosti a má prísnu politiku zverejňovania zraniteľností. Aj pri najvážnejších zraniteľnostiach totiž trvá na dodržaní lehoty 90 dní prípadne so 14-dňovým predĺžením na opravenie zraniteľností, následne zraniteľnosti zverejňuje aj keď nie sú opravené.

Zároveň vzorka je relatívne malá, štatistiky za roky 2019 až 2021 boli vytvorené z 346 opravených zraniteľností.

Spomedzi týchto zraniteľností najrýchlejšie opravovali zraniteľnosti vývojári Linuxu, priemerne za 25 dní od nahlásenia. Nie je jasné, či štatistiky pod Linuxom zahŕňajú len zraniteľnosti v linuxovom jadre alebo aj niektorých iných komponentoch operačného systému.

Google opravoval zraniteľnosti priemerne za 44 dní, Apple za 69 dní a Microsoft až za 83 dní. Až po lehote tímu Google Project Zero odstránili vývojári Linuxu a Google jednu zraniteľnosť a Apple a Microsoft štyri zraniteľnosti, o ako závažné zraniteľnosti išlo nie je známe.

Priemer pri všetkých zraniteľnostiach dosahoval 61 dní. Rýchlosť opravovania zraniteľností sa postupne zlepšovala, v roku 2019 dosahoval priemer 67 dní, v 2020 to bolo 54 dní a v minulom roku 52 dní.

Z jednotlivých typov softvérov sa relatívne pomaly opravovali zraniteľnosti v mobilných operačných systémoch, v iOS to bolo za 70 dní a v Androide pre Pixely aj Samsungy 72 dní.

V prípade webových prehliadačov dosahoval priemer 46.1 dňa, Chrome mal priemer 29.9 dňa, Firefox 37.8 dňa a WebKit, jadro prehliadača Safari, priemer 72.7 dňa.


      Zdieľaj na Twitteri



Najnovšie články:

Helikoptéra na Marse sa už vie sama vyhýbať prekážkam
Loď Orion úspešne vstúpila na orbitu Mesiaca
Arm bude uvedená na burzu neskôr
V Česku pribudlo ďalších osem vysielačov digitálneho rádia
Loď Orion dnes vstúpi na orbitu Mesiaca
Aplikácia pre lístky na vlak nebola viacero dní v obchode, po zvláštnom vyradení Googlom
Telekom zvýšil pokrytie 5G najmä na východe, úroveň pokrytia neuvádza - aktualizácia 1
V Británii spustená 196 MWh batéria
Helikoptéra na Marse dostala aktualizáciu softvéru, uskutočnila veľmi krátky let
NASA stratila komunikáciu s loďou Orion


Diskusia:
                               
 

a je to tu !
Odpovedať Známka: 8.1 Hodnotiť:
 

Výnimka však potvrdzuje pravidlo, že keby vývojári Linuxu nerobili chyby vôbec, prípadne len málo, dohromady by nemali čo opravovať a už vôbec nie rýchlejšie než ostatní. Z toho priekazne vyplýva, že vývojári Linuxu robia najviac chýb.
Odpovedať Známka: -0.7 Hodnotiť:
 

Predpoklad, ze niekto nebude robit chyby vobec, je nerealny. Ale z rychlosti opravy vobec nevyplyva pocet chyb, to si ako na to prisiel??? Praveze naopak, dalo by sa povedat, ze kedze nemaju skoro ziadne chyby, tak tu jednu priekazne opravia rychlejsie, nez MS svojich 80. To tiez nie je uplne logicka dedukcia, kauzalita to byt nemusi, ale korelacia by bola zrejme vyssia.
Odpovedať Známka: -5.7 Hodnotiť:
 

Kde? Ved to je HOAX
Odpovedať Známka: -5.0 Hodnotiť:
 

Práca chvatná nanič platná.
Odpovedať Známka: -5.7 Hodnotiť:
 

Clovek by si myslel ze Microsoft je krycia firma tajnej sluzby ktorej tie zadne vratka vyhovuju ale vsetci dobre vieme ze su to iba dilentanti.
Odpovedať Známka: 8.7 Hodnotiť:
 

z toho vyplyva, ze ti druhi - tajna sluzba nie su diletanti
Odpovedať Známka: 6.9 Hodnotiť:
 

Šak to sú časy, za ktoré idú s takými zdrojmi tie zázraky priekazne zgruntu nakódiť odznova a bez chýb.
Odpovedať Známka: -0.9 Hodnotiť:
 

A hlavne by mali poslať to C++ do piče...

A hlavne nechápem, že keď je tu Google Play, prečo v Linuxe nie je legálne možnosť použiť nejakú GPL licencovanú sračku na komerčné účely, nikomu neukázať zdroják a za to legálne zaplatiť vývojárom...

Pretože fikaní právnici aj tak budú pičovať, pretože v Amerike sa pičuje v práve na kompletne všetko a nejaké GPL soft ako každý iný nebude výnimka... A zaplatí to kto? Tí vyvojári? A aby to bolo právne fikané, tiež nie je zrovna jednoduché a mohla by to zastrešiť organizácia, pre ktorú softvérovo pičujú...
Odpovedať Známka: -10.0 Hodnotiť:
 

Čo máš proti C++?
Odpovedať Známka: 8.6 Hodnotiť:
 

Asi to isté, čo voči tomu čuramedánovi s tým "Dajte mi pevný bod vo vesmíre a pohnem Zemou." No tak si tie header faily strč do prdele, keď si bez nich priekazne ani neprdneš.
Odpovedať Známka: 3.8 Hodnotiť:
 

ona asi tym mysli covid pozit.
Odpovedať Známka: 6.7 Hodnotiť:
 

tie 2+
Odpovedať Známka: 3.3 Hodnotiť:
 

Za prve, linux (jadro) je pisane v C, nie C++.

A za druhe, co ma google play s GPL? Jedno sluzi na distribuciu softveru, druhe je licencia pouzitia _kodu_.

A je na to sakramentsky dobry dovod - aby si to nejaka korporacia (ehm ehm microsoft ...) neprivlastnila tym ze tam spravi 'vylepsenia' a monopolnou silou zabezpeci ze kazdy bude pouzivat jej vylepsenu verziu.

Alebo aby si autor 10 rokov po tom co nieco prispeje do jadra nezmyslel ze si 'berie svoj kod spet' a odvola licenciu, a s nou aj vsetky zmeny ktore na kode boli medzicasom urobene. Aj take pripady sa stali v minulosti.

A za tretie, GPL ti nebrani mat dvojite licencovanie, dokonca je to bezne. Ak chces pouzit softver zadarmo, zverejnis aj svoje zdrojaky a vsetky upravy, alebo mozes zaplatit a dostanes to pod inou licenciou a nic zverejnovat nemusis.
Odpovedať Známka: 9.1 Hodnotiť:
 

> prečo v Linuxe nie je legálne možnosť použiť nejakú
> GPL licencovanú sračku na komerčné účely, nikomu
> neukázať zdroják a za to legálne zaplatiť vývojárom...

Samozrejme, že môžeš. Len sa s vývojármi musíš dohodnúť na inej licencii.
Odpovedať Známka: 7.8 Hodnotiť:
 

Ja do Linuxu tiež neprispievam kvôli GPL. A kým nebude jej súčasťou blacklist, si za kvalitu priekazne môžu sami.
Odpovedať Známka: -3.3 Hodnotiť:
 

A cim prispevas do Linuxu, ak sa mozem opytat? Kreslis ikonky alebo vytvaras nove obrazky pre pozadia?
Odpovedať Známka: 6.7 Hodnotiť:
 

Nemozes sa opytat. Priekazne nejake dalsie otazky?
Odpovedať Známka: 0.0 Hodnotiť:
 

Takze jedno z toho :-)
Odpovedať Hodnotiť:
 

Pred 10timi rokmi postol wallpaper na gnome-look a hned si do linkedin dal ze je "Linux contributor and Evangelist" ...
Odpovedať Známka: 7.5 Hodnotiť:
 

Ja na základe rozhodnutia UNICEF nemôžem byť "Linux contributor and Evangelist", nakoľko pri mojom drajve a požiadavkách na kvalitu kódu by v Afrike priekazne umierali milióny detí, ktorým by nadácia Gatesovcov nemala z čoho kupovať vakcíny.
Odpovedať Známka: 0.0 Hodnotiť:
 

A dokonca GPL kod moze ktokolvek pouzit na cokolvek... A ak nezmeni zdrojaky, tak dokonca nema vpodstate ziadnu povinnost (okrem informovania zakaznika, ze nejaka cast/celok systemu je pod GPL). Peniaze moze pytat vpohode za GPL sw... Mozno to musi formulovat ako odmenu za kompilaciu/distribuciu/instalaciu, ale moze.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ak aj nezmenis zdrojaky,máš úplne rovnaké povinnosti ako keď ich zmenis, to znamená,že odovzdávas zdrojaky ďalej,nielen binárnu formu. A s "len informovaní", že je kus kódu pod gpl si nevystacis,keďže gpl je virálna licencia a teda sa môže uplatňovať aj na širšie samostatne dielo.
Odpovedať Hodnotiť:
 

Ak nemeníš zdrojáky a šíriš len binárky, tak môžeš jednoducho odkázať na zdrojáky, ktoré sprístupňuje ten, od koho si zobral tie binárky. Ak ten pôvodný človek prestane šíriť aj binárky aj zdrojáky a niekto iný to tiež nerobí ... no tak potom asi hej, potom to ostane na tebe.
Odpovedať Hodnotiť:
 

kľudne ma majte za hocijakého *-fóba, mizo-*, ale ženskej nepasuje také vyjadrovanie, ani keď chce byť zaujímavá medzi takými hulvátmi, ako tu na dsl.
Odpovedať Známka: 10.0 Hodnotiť:
 

Na C++ nadavaju hlavne neschopny ludia.

GPL ide pouzit aj na komercne ucely, ale je potrebne poskytnut zdrojovy kod. Ak sa ti to nepaci, nakod si to sam a nelez do GPl softveru.
Odpovedať Známka: 7.6 Hodnotiť:
 

Veru, aj ty patris medzi tu skupinu - neschopni ludia.
Odpovedať Známka: -6.0 Hodnotiť:
 

yes grammar nazi - dosli argumenty, treba dissovat gramatiku...je to priam k neuvereniu ze vacsinou ti isti ludia ktori obhajuju amerikanizaciu zaroven obhajuju nezmyselne pravidla slovenciny, ktore zvacsa ani nemaju silny historicky zaklad (pis ako pocujes, ci ?)
Odpovedať Známka: 2.0 Hodnotiť:
 

ja taku skusenost nemam. Mne sa zda, ze slovencinu viac obhajuju hrdi slovaci a rusofili (neznamena, ze ju ovladaju), naopak, obhajcovia amerikanizacie zaroven hlasaju povinnost robit a akceptovat gramaticke chyby a zbytocne pouzivaju prevzate slova tam, kde mame zauzivane slovenske ekvivalenty a najlepsie je, ze znosia pod ciernu zem, ked niekto povie nieco narecove, napr. oblubene "trebalo". Ale "dissovat" je pekna slovencina.
Odpovedať Hodnotiť:
 

Podla mna ste ajtak vsetci panici
Odpovedať Známka: -4.5 Hodnotiť:
 

Raz som strčila v roku 2005 USB kľúč do jednej nemenovanej 1 rok neaktualizovanej distribúcie a vyhlásila KERNEL PANIC.

Windows 98 nema problema :D
Odpovedať Známka: -7.3 Hodnotiť:
 

Neznie to doveryhodne ked to tvrdi chlpaty it-ak s krivymi nohami.
Odpovedať Známka: 8.0 Hodnotiť:
 

Pokiaľ sa dobre pamätám tak vo Windows 98 neexistovali ovládače na mass storage, USB kľúče išli len po manuálnom doinštalovaní. Ale nakoľko sa USB médiá výrazne začali používať až v dobe Windows XP, nebol to zásadný problém a aj väčšina starých PC s Win98/2000/ME boli dávno preinštalované na Windows XP(niektoré aj na beta verziu Visty).
Odpovedať Známka: 6.4 Hodnotiť:
 

"There are only two kinds of languages: the ones people complain about and the ones nobody uses"
Bjarne Stroustrup
Odpovedať Známka: 8.0 Hodnotiť:
 

O ako závažné zraniteľnosti išlo nie je známe. Takže celý článok je o NIČOM. čo vlastne porovnali ? Ukradnutie root práv a práv na MS ikonku ?
Odpovedať Známka: -2.5 Hodnotiť:
 

Zranitelnosti ci diery ako vesmir nuz nechcel by som to ani zadarmo.
Odpovedať Známka: -5.0 Hodnotiť:
 

Každý by si ho mal takpovediac ohmatať.
Odpovedať Hodnotiť:
 

Vysí to tu už od včera a ešte len 22 komentárov?

Žeby Linux vs ostatné OS už nebol taký flame ako voľakedy?
Odpovedať Známka: 6.0 Hodnotiť:
 

Linux uz nikoho nezaujima
Odpovedať Známka: -5.6 Hodnotiť:
 

https://tinyurl.com/2p9y54ht
Odpovedať Hodnotiť:
 

OS si tu porovnávajú diery pod taktovkou Googeľa a nikoho to netankuje ?
Odpovedať Známka: -3.3 Hodnotiť:

Pridať komentár