The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero"  +/
Сообщение от opennews (??), 14-Фев-22, 10:15 
Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56696

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +11 +/
Сообщение от Аноним (1), 14-Фев-22, 10:15 
>Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

Наверное, сурьезный консилиум собирают, а не тяп-ляп за 25 дней.

Ответить | Правка | Наверх | Cообщить модератору

20. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +14 +/
Сообщение от Аноним (20), 14-Фев-22, 12:28 
Консультируются с NSA, CIA.
Ответить | Правка | Наверх | Cообщить модератору

35. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +6 +/
Сообщение от ноунейм (?), 14-Фев-22, 16:48 
Майкрософт и с фсб консультироваться может, возможно, на это больше всего времени уходит.
Ответить | Правка | Наверх | Cообщить модератору

37. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от Аноним (37), 14-Фев-22, 18:37 
> на это больше всего времени уходит

Значит по выбросам в статистике можно предположить, что интересно консультантам?

Ответить | Правка | Наверх | Cообщить модератору

2. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +4 +/
Сообщение от Аноним (2), 14-Фев-22, 10:16 
> Медленнее всех исправление выпускала компания Microsoft

"не верь глазам своим". ибо в 1-й таблице это оракл (109 дней в среднем).

Ответить | Правка | Наверх | Cообщить модератору

4. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Онаним (?), 14-Фев-22, 10:26 
Вот только и по числу выявленных проблем оракл первый... с хвоста, наименьшее число проблем, а продукты у них так-то серьёзные.
Ответить | Правка | Наверх | Cообщить модератору

7. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от InuYasha (??), 14-Фев-22, 10:37 
Такие серьёзные, что обновления BIOS/прочие прошивки только при платной подписке за 500+ долеров. Даже для серверов Sun, которую они скупили и уничтожили.
Ответить | Правка | Наверх | Cообщить модератору

44. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от IdeaFixemail (ok), 22-Фев-22, 12:37 
Так у HP теперь то же самое :( И для старых копаков и альф, а pa-risc вообще никак. Как я обновлял и вообще приводил в чуыства b2600 - это просто боль :(
Ответить | Правка | Наверх | Cообщить модератору

3. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +7 +/
Сообщение от Аноним (3), 14-Фев-22, 10:16 
> Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

Дык майору же надо переписать бэкдор, скомпилять новые блобы, оттестить - это не так быстро.

Ответить | Правка | Наверх | Cообщить модератору

5. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +3 +/
Сообщение от Аноним (5), 14-Фев-22, 10:30 
>Среднее число дней до исправления

А нужно - медианное. Среднее - чуствительно к выбросам.

Ответить | Правка | Наверх | Cообщить модератору

16. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (37), 14-Фев-22, 11:55 
> Среднее - чуствительно к выбросам.

Это хорошо или плохо?

Ответить | Правка | Наверх | Cообщить модератору

26. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от A.Stahl (ok), 14-Фев-22, 13:43 
Плохо.
Ответить | Правка | Наверх | Cообщить модератору

28. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (37), 14-Фев-22, 14:22 
А я думал плохо то, что медиана и среднее арифметическое - это совершенно разные характеристики распределения
Ответить | Правка | Наверх | Cообщить модератору

32. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от A.Stahl (ok), 14-Фев-22, 16:11 
А это как раз хорошо, что разные.


Ответить | Правка | Наверх | Cообщить модератору

33. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –1 +/
Сообщение от Аноним (37), 14-Фев-22, 16:30 
А как сравнивать хорошесть совершенно разных характеристик, как сравнивать теплое с мягким?

Я еще понимаю, когда сравнивают медиану и среднее (мат.ожидание) для симметричного распределения, например, нормальное распределение, когда медиана и среднее совпадают и можно выбирать, с чем удобнее работать.

Ответить | Правка | Наверх | Cообщить модератору

6. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +9 +/
Сообщение от InuYasha (??), 14-Фев-22, 10:35 
У GOOLAG главный WontFix - это техподдержка. Её просто НЕТ. Не логинится аккаунт? Попробуйте ещё раз потом. Завтра. Через неделю. Через год... Там сотрудники подразделяются на две категории - помидоры и роботы.
Ответить | Правка | Наверх | Cообщить модератору

8. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –5 +/
Сообщение от Гуглист (?), 14-Фев-22, 10:48 
Потому что у гугла всё настолько отточено, что не может быть ошибок, поэтому и саппа нету. Если у тебя не логинится акк, то трабл у тебя, а не у гугла. У остальных же всё логинится.
Ответить | Правка | Наверх | Cообщить модератору

11. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +3 +/
Сообщение от Аноним (11), 14-Фев-22, 10:49 
Это не трабл. Это вы стали счастливым участником а/б тестирования новых фишек хрома.
Ответить | Правка | Наверх | Cообщить модератору

30. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от InuYasha (??), 14-Фев-22, 15:08 
Хреново гуглишь, gooглист.

https://news.ycombinator.com/item?id=30060405#30077431 человек просто провёл беглый поиск.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +5 +/
Сообщение от Аноним (10), 14-Фев-22, 10:49 
просто не пользуйтесь гуглём
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от Аноним (17), 14-Фев-22, 12:08 
>помидоры и роботы.

Зомби против растений

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

42. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от AtillaFox (ok), 15-Фев-22, 08:19 
Химеры...
Ответить | Правка | Наверх | Cообщить модератору

9. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (11), 14-Фев-22, 10:48 
Ну хотя бы счёт за оказанные услуги по поиску багов не выставляют. Может введут оплату за дополнительные 30 дней отсрочки?
Ответить | Правка | Наверх | Cообщить модератору

12. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (5), 14-Фев-22, 10:57 
>УК РФ Статья 163. Вымогательство
>1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких
Ответить | Правка | Наверх | Cообщить модератору

15. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +6 +/
Сообщение от Аноним (15), 14-Фев-22, 11:42 
Товарищ майор, выпейте таблетки и закройте вкладку с опеннетом.
Ответить | Правка | Наверх | Cообщить модератору

27. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от ryoken (ok), 14-Фев-22, 14:12 
Проще: "нажмите (CMD|CTRL)-W".
Ответить | Правка | Наверх | Cообщить модератору

36. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –1 +/
Сообщение от Аноним (37), 14-Фев-22, 18:05 
Alt-F4
Ответить | Правка | Наверх | Cообщить модератору

43. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Kuromi (ok), 15-Фев-22, 20:17 
Лучше Alt + SysRq + O
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

13. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (13), 14-Фев-22, 11:10 
Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти: с каждым годом раздуваются и операционки, и программы.
Ответить | Правка | Наверх | Cообщить модератору

21. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от лютый жабби__ (?), 14-Фев-22, 12:37 
>Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти

а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

Мысль подтверждается наблюдением: заскорузлые легаси-помойки Оракл и Маздай на дне, а в Linux всё быстрее и быстрее правят дыры.

Ответить | Правка | Наверх | Cообщить модератору

23. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –1 +/
Сообщение от Анонимemail (23), 14-Фев-22, 12:56 
Чувак, у оракла и майкра юнитами все покрыто намного больше чем в ядре. Ядро с точки зрения тестирования поле не паханное. Ты, судя по всему, вообще не знаешь о чем говоришь.
Ответить | Правка | Наверх | Cообщить модератору

24. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от Самокатофил (?), 14-Фев-22, 13:02 
>а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

Регулярный рефакторинг.
Всё лучше и лучше.

Взоржамши.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

14. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –1 +/
Сообщение от Аноним (17), 14-Фев-22, 11:11 
Поздравляю пользователей Apple, судя по этому списку - вы лучшие!
Ответить | Правка | Наверх | Cообщить модератору

18. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  –2 +/
Сообщение от Аноним (18), 14-Фев-22, 12:14 
В отличие от андройда пользователи яблока обновления получат
Ответить | Правка | Наверх | Cообщить модератору

25. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (17), 14-Фев-22, 13:06 
Слышал про Pixel?
Ответить | Правка | Наверх | Cообщить модератору

19. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Аноним (19), 14-Фев-22, 12:26 
Средняя температура по больнице? не
Ответить | Правка | Наверх | Cообщить модератору

41. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Ordu (ok), 15-Фев-22, 08:13 
Я вот никогда не понимал этого мема про среднюю температуру по больнице. То есть понятно, что с одной стороны из неё сложно делать какие-то осмысленные выводы, но это ровно до тех пор, пока ты не нарисуешь график средней температуры по больнице за последний год, не посмотришь корреляции этой средней температуры с интересными событиями по больнице, и не выяснишь, вероятно, что эта средняя температура является хорошим индикатором эпидемии гриппа в больнице. Или может ещё чего-то. На самом деле любые отклонения траектории от привычных колебаний будут хорошим поводом начать поиск причин этих отклонений, потому что это может снизить латенси в принятии решений главврачом.

Здесь тебе нарисовано этих средних аж целых три точки, по каждой категории. И явно виден тренд к снижению. Что это значит -- это вопрос. Например, здесь может работать закон Гудхарта[1], хоть я и не вижу, как. Но... эмм... для этого тебе и даны числа и описано откуда они взяты, чтобы ты сам мог бы подумать о том, какие выводы сделать.

[1] https://en.wikipedia.org/wiki/Goodhart%27s_law

Я лично затрудняюсь делать выводы, потому что только по трём компаниям набрано достаточно данных, чтобы о чём-то рассуждать. А остальные... Не, ну 25 точек по linux'у это о чём-то говорит, но только если их совокупно рассматривать, а если их разбить по годам, то там меньше 15 точек за год выходит, и всего три года, все эти результаты могут быть случайным выбросом. Хотя... не, ну тут надо считать, какова вероятность получить снижение два года подряд, ежели просто эти точки генерить рандомом по Пуассону? За один год получить снижение -- это 50/50, а если два снижения за два года?

Вот в целом, по всем если смотреть, то да, можно судить о том, что время реакции сокращается: чтобы получить случайным образом снижение в девяти категориях да ещё и два года подряд, это надо быть очень везучим человеком. Но по любому одному конкретно, кроме троицы Apple, MS, Google, я б не рискнул высказываться.

Ответить | Правка | Наверх | Cообщить модератору

22. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от ranenemail (?), 14-Фев-22, 12:42 
Chrome - 40
Firefox - 8
WebKit - 27
Интересно, такая разница в числе проблем! Ладно хром, но между WebKit и Firefox?
Ответить | Правка | Наверх | Cообщить модератору

31. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от . (?), 14-Фев-22, 15:53 
"нет браузера - нет проблем" (C)
Ответить | Правка | Наверх | Cообщить модератору

34. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +2 +/
Сообщение от Аноним (34), 14-Фев-22, 16:38 
А нафига Гуглу в чужом браузере проблемы искать? Это Мозилла пусть ищет. Ой, искать-то не кому, зарплата security team в зарплату Mitchel Baker пошла. Но проблемы Мозиллы Гугл не волнуют.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

29. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +1 +/
Сообщение от Аноним (29), 14-Фев-22, 14:37 
Firefox-8, нет браузера - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

38. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Kuromi (ok), 14-Фев-22, 18:53 
"Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox"

Тут еще надо учесть, что исправление безопасности практически сразу же (как только сделают патч) прилетает в Nightly, так что в ней выходит безопаснее всего сидеть, так как дыры ищут в релизных версиях, а на ночнушке эксплойты чаще всего не срабатывают.

Ответить | Правка | Наверх | Cообщить модератору

39. "Оценка оперативности устранения уязвимостей, обнаруженных Go..."  +/
Сообщение от Kuromi (ok), 14-Фев-22, 18:55 
Полагаю после того как Adobe похоронили Flash число уязвимостей им принадлежащих резко уменьшилось.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру