根据KennaSecurity和CyentiaInstitute周二发表的一份报告,将补丁应用于产品中的漏洞并非易事,该报告分析了大约300个组织如何处理不断涌现的补丁和缓解措施。
这两人提出了“补救速度”的度量来衡量漏洞的生存时间,重点是测量在特定方面达到25%、50%或75%的漏洞关闭所需的时间。 在所有被分析的组织中,平均需要26天才能达到25%的关闭,100天才能达到50%的关闭,392天才能达到75%。
有多种因素----严重程度、开发难度、概念证明的存在----影响了在组织内部处理脆弱性的速度。 其中最重要的是供应商为应用补丁提供的实用程序。 与供应商相比,微软远远领先于其他供应商,使组织能够在14天内修补25%的漏洞,在37天内修补50%,在134天内修补75%。 谷歌在组织修补的上市供应商中排名第二,需要15、63和229天才能达到25%、50%和75%的里程碑。
流行的Linux发行版Debian排名第三,分别为22、93和286天,略高于商业Linux发行版Red Hat的27、102和325天。 奇怪的是,在180天、287天和1345天的时间里,组织需要比Debian更长的时间来修补Ubuntu。 Ubuntu存在于Debian的下游,并且使用相同的包管理器,使得差异难以解释。
在Apache、Cisco、Oracle、HP和IBM产品中,无人值守或太脆弱的补丁构成了其余的包。 报告指出,“这些巨大差异背后有许多可能的原因。 众所周知,Java(Oracle)很难在不破坏某些东西的情况下修复。 苹果可能比微软有更少的漏洞,但他们的企业管理支持滞后。 谷歌更新频繁,但许多人忘记重新启动他们的浏览器。 总的来说,我们认为[这些结果]是支持计划发布和补丁自动分发的有力证据。
已知漏洞的所有供应商的漏洞被发现修补得更快。 已知漏洞在20、63和248天修复,而未修复的漏洞在27、111和426天修复,分别达到25%、50%和75%的阈值。
据观察,规模较小的组织修补漏洞的速度较快,报告称,“许多组织认为,资源减少会导致修补漏洞的能力下降,规模较小的公司通常比中型和大型公司更快地达到每次修补的里程碑