Linuxの脆弱性修正はどのベンダーよりも早かった–グーグルのProject Zeroが発表

今回は「Linuxの脆弱性修正はどのベンダーよりも早かった–グーグルのProject Zeroが発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 GoogleのセキュリティチームであるProject Zeroが発表したレポートで、Linuxの開発者が、Googleを含む他のどのベンダーも早くセキュリティバグを修正していたことが分かった。

 レポートでは、2019年1月から2021年12月の間に報告された修正済みのバグについての数字を取り上げている。Project Zeroによれば、Linuxの脆弱性はわずか平均25日で修正されていた。それに加え、Linuxの開発者は、セキュリティホールの修正にかかる時間も大幅に短縮しており、2019年には平均32日かかっていたのに対して、2021年には15日にまで改善された。

 この結果は、競合する他のベンダーよりもはるかに優れたものだ。例えば、Appleが修正に要した平均日数は69日で、Googleは44日、Mozillaは46日だった。一方、特に成績が悪かったのは、Microsoftの83日と、(脆弱性の件数は少なかったものの)Oracleの109日だった。また、主にApache、Canonical、Github、Kubernetesなどのオープンソースソフトウェアを扱う組織や企業から構成されている「その他の組織」は、44日という優れた成績を挙げていた。

 全般的に言って、あらゆる組織で脆弱性の修正にかかる時間が短縮されている。2021年には、報告された脆弱性の修正に要した時間は、平均で52日だった。しかしたった3年前には、修正には平均80日もかかっていた。レポートでは、特にMicrosoft、Apple、Linuxが過去2年間で修正にかかった日数を大幅に短縮したと指摘している。

 Project Zeroは、発見した脆弱性についての情報をベンダーに報告してから、90日後に情報を開示する方針を取っている。

 2021年は、14%の脆弱性で2週間の期限延長が必要だったものの、期限までに修正されなかった脆弱性は「Google Android」の1件だけだった。あらゆる組織が、この数年で脆弱性の修正に関する成績を大きく向上させている。

 これはなぜだろうか。Project Zeroの研究者は、「責任ある情報開示の方針が業界のデファクトスタンダードとなったことで、ベンダーが期限の異なる報告に迅速に対応できるようになった」からではないかと考えている。また各企業は、透明性が高まったことで、お互いのベストプラクティスを学ぶようになった。筆者は、これにはオープンソースの開発手法が広まったことが大きな影響を与えていると考えている。力を合わせてバグを修正することが、全員のためになると理解されるようになってきたのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Twitter利用者は心の健康度が低い? LINEは満足感が高い傾向
IT関連
2021-03-18 22:06
宅配デリのノンピが3.4億円調達、シェフのこだわりを「冷凍で実現」したフローズンミール定期配送「nonpi A.R.U.」開始
IT関連
2022-03-04 12:31
ねこ用スマートトイレ「Toletta」が本体無料&アプリ月額料金1078円で利用可能に、トレッタキャッツがリニューアル
IoT
2021-06-23 11:24
CIOがデジタル変革への旅をけん引するために受け入れるべき6つのトレンド
IT関連
2021-03-15 18:02
国内クライアント仮想化市場はDaaSやモバイルなどで拡大–IDC Japan予測
IT関連
2022-06-09 09:26
「ウイルスに勝てませんでした」 シャープ「プラズマクラスターシューティング」は予想外の弾幕ゲーム
くらテク
2021-08-03 18:34
ヒューゴー賞がビデオゲーム部門最終候補6本を発表、「あつ森」「FF7リメイク」もノミネート
ゲーム / eSports
2021-04-16 18:07
若者の「テレビ離れ」は衝撃的か? 調査データから見える、今どきの若者の生活習慣 (1/3 ページ)
くわしく
2021-06-15 10:57
ローコード開発、2021年に予想される3つのトレンド
IT関連
2021-01-29 02:18
マイクロソフト、JavaScriptに型宣言を追加しつつトランスパイラ不要の「Types as Comments」をJavaScript仕様策定会議のTC39に提案へ
JavaScript
2022-03-11 00:12
日立製作所やNECなど、映像解析技術による障害物検知業務の実証実験–南紀白浜空港で
IT関連
2024-01-14 06:44
セキュリティ対策でも「Do more with less」を–マイクロソフトが訴求
IT関連
2023-03-01 15:17
「新たな領域の開拓で日本での存在感を強めていきたい」–ペガジャパンの福島新社長
IT関連
2021-07-01 14:16
Shopifyが世界で共通するeコマース人材の育成プログラムを青山学院大学で提供
EdTech
2021-06-02 10:17