Linuxの脆弱性修正はどのベンダーよりも早かった–グーグルのProject Zeroが発表

今回は「Linuxの脆弱性修正はどのベンダーよりも早かった–グーグルのProject Zeroが発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 GoogleのセキュリティチームであるProject Zeroが発表したレポートで、Linuxの開発者が、Googleを含む他のどのベンダーも早くセキュリティバグを修正していたことが分かった。

 レポートでは、2019年1月から2021年12月の間に報告された修正済みのバグについての数字を取り上げている。Project Zeroによれば、Linuxの脆弱性はわずか平均25日で修正されていた。それに加え、Linuxの開発者は、セキュリティホールの修正にかかる時間も大幅に短縮しており、2019年には平均32日かかっていたのに対して、2021年には15日にまで改善された。

 この結果は、競合する他のベンダーよりもはるかに優れたものだ。例えば、Appleが修正に要した平均日数は69日で、Googleは44日、Mozillaは46日だった。一方、特に成績が悪かったのは、Microsoftの83日と、(脆弱性の件数は少なかったものの)Oracleの109日だった。また、主にApache、Canonical、Github、Kubernetesなどのオープンソースソフトウェアを扱う組織や企業から構成されている「その他の組織」は、44日という優れた成績を挙げていた。

 全般的に言って、あらゆる組織で脆弱性の修正にかかる時間が短縮されている。2021年には、報告された脆弱性の修正に要した時間は、平均で52日だった。しかしたった3年前には、修正には平均80日もかかっていた。レポートでは、特にMicrosoft、Apple、Linuxが過去2年間で修正にかかった日数を大幅に短縮したと指摘している。

 Project Zeroは、発見した脆弱性についての情報をベンダーに報告してから、90日後に情報を開示する方針を取っている。

 2021年は、14%の脆弱性で2週間の期限延長が必要だったものの、期限までに修正されなかった脆弱性は「Google Android」の1件だけだった。あらゆる組織が、この数年で脆弱性の修正に関する成績を大きく向上させている。

 これはなぜだろうか。Project Zeroの研究者は、「責任ある情報開示の方針が業界のデファクトスタンダードとなったことで、ベンダーが期限の異なる報告に迅速に対応できるようになった」からではないかと考えている。また各企業は、透明性が高まったことで、お互いのベストプラクティスを学ぶようになった。筆者は、これにはオープンソースの開発手法が広まったことが大きな影響を与えていると考えている。力を合わせてバグを修正することが、全員のためになると理解されるようになってきたのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
2025年の「サイバーセキュリティ月間」始まる。サイバーセキュリティ対策は、詳しい人が一人で頑張るだけでは実現しません
セキュリティ
2025-02-03 09:47
AIを使って新たな材料を発見–日本IBMがウェブアプリを公開
IT関連
2021-03-08 16:15
あなたの声で合成音声に“演技指導” AIが抑揚を分析、東芝が新ソフト
イラスト・デザイン
2021-08-18 21:57
[速報]Amazon S3にファイルを置くとAmazon Redshiftに自動で取り込まれる「Amazon Redshift auto-copy from S3」発表
AWS
2022-12-01 11:16
リコー、約1万人がグローバルで利用する技術情報基盤を構築
IT関連
2024-10-18 17:16
Google Cloudが語る、クラウドで守る顧客のサイバーセキュリティ
IT関連
2022-07-21 04:58
[速報]マイクロソフトが「Team Copilot」発表。生成AIが会議のファシリテーターやプロジェクト管理を実行
Microsoft
2024-05-22 04:30
「あの人に偽情報を見せたい」がSNSの“レコメンドAI”悪用で実現する可能性 F-Secureが検証
ロボット・AI
2021-06-29 04:01
マスク着用でも読み取れる表情認識AI KDDI総研が開発 ポジティブ・ネガティブを推定
ロボット・AI
2021-02-26 11:47
WatchGuardやASUSのルーター狙ったロシア関与のボットネット、米司法省が阻止
IT関連
2022-04-09 23:43
NEC、生体認証と連携するIDプラットフォーム 入退室管理や店舗決済を自動化
DX
2021-01-16 02:57
「レベル4」の自動運転で東京~大阪間を幹線輸送–自動運転トラックの公道実証も計画
IT関連
2023-01-07 14:51
荒れ馬「日経平均」を乗りこなす積立投資術–荒れるほど投資効果が高まる?
IT関連
2021-07-21 09:34
プログラミング言語ごとのコミュニティの最大規模はJavaScriptの約2520万人、続いてPythonが1820万人、Javaが1770万人など。SlashDataの調査
.NET
2024-06-20 05:42