Dice Google que los programadores de Linux hacen un mejor trabajo a la hora de solucionar vulnerabilidades que los desarrolladores que trabajan en Apple, Microsoft, y la misma Google. Mientras en promedio en Linux se corrigen bugs en 25 días, en Microsoft se tardan más de 80.
Son datos que han publicado directamente los expertos en seguridad de Project Zero, ese equipo de hackers de Google que llevan unos cuantos años presionando a las empresas y divulgando fallos de seguridad para que sean corregidos lo más pronto posible.
La buena noticia es que, en general, todas las vulnerabilidades se están corrigiendo más rápido
Si bien los programadores de Linux sacan parches más rápido que todos los demás y han mejorado la velocidad entre 2019 y 2021, los números publicados por Project Zero indican que no solo ellos lo están haciendo mejor, solo que lo hacen mejor que el resto.
En Project Zero examinaron todas las vulnerabilidades corregidas que se habían notificado entre enero de 2019 y diciembre de 2021. De ahí sacaron que los programadores open source solucionaron los problemas de Linux en una media de 25 días. Y lo que en 2019 les tomaba 32 días, en 2021 les tomó solo 15.
En comparación con esto, todos los demás están bastante detrás, aunque mejor que en otros años. La empresa que sigue más de cerca es la propia Google, con un promedio de 44 días, al igual que varias organizaciones y empresas de código abierto como Apache, Canonical, Github y Kubernetes (incluidas como "Otros")*.
| Distribuidor | Bugs en 2019 (días para solucionar) | Bugs en 2020 (días para solucionar) | Bugs en 2021 (días para solucionar) |
|---|---|---|---|
| Apple | 61 (71) | 13 (63) | 11 (64) |
| Microsoft | 46 (85) | 18 (87) | 16 (76) |
| | 26 (49) | 13 (22) | 17 (53) |
| Linux | 12 (32) | 8 (22) | 5 (15) |
| Otros* | 54 (63) | 35 (54) | 14 (29) |
| TOTAL | 199 (67) | 87 (54) | 63 (52) |
Más atrás tenemos a Mozilla con 46 días, Apple con 69 días, y en el fondo de la tabla aparece Microsoft, empresa a la que en promedio le toma unos 83 días corregir sus bugs. Si bien a Oracle le va incluso peor, con un promedio de 109 días, la empresa ha tenido que enfrentar muchos menos problemas de seguridad en comparación (7 bugs versus los 80 de Microsoft en el mismo periodo de tiempo).
Project Zero es famoso por su periodo de gracia de 90 días, uno con el que Microsoft la ha pasado mal más de una vez. Cuando el equipo de seguridad descubre una vulnerabilidad le da ese tiempo al distribuidor de software para que corrija el fallo antes de hacerlo público. Actualmente, el promedio general de días para corregir vulnerabilidades es de 61 días, así que la presión parece tener un buen efecto al menos.
De hecho, la misma Microsoft ha mejorado significativamente en este aspecto, pasando de 85 días en 2019, a solo 76 en 2021. Durante el año pasado solo uno de los bugs se pasó del tiempo de gracia, versus 9 en el 2020.
Ver 6 comentarios