Secondo uno studio di Google i programmatori Linux fanno un lavoro migliore nel correggere le falle di sicurezza rispetto ai programmatori di Apple, Google e Microsoft.
Capita di sentire che Linux, dal punto di vista della sicurezza, abbia spesso delle falle, ma a conti fatti è vero il contrario. Ora ci sono i fatti e i dati riportati da Google stessa in un suo report su Project Zero. Il team di ricerca sulla sicurezza di Google, mostra infatti che gli sviluppatori di Linux fanno un lavoro di correzione dei bug molto più veloce di chiunque altro, incluso Google.
Cosa ha misurato Project Zero sui bug Linux?
Project Zero ha esaminato i bug corretti stati segnalati tra gennaio 2019 e dicembre 2021. I ricercatori hanno scoperto che i programmatori open source hanno risolto i problemi di Linux in una media di soli 25 giorni. Inoltre, gli sviluppatori di Linux hanno migliorato la loro velocità nel correggere le falle di sicurezza da 32 giorni nel 2019 a soli 15 nel 2021.
Tutti gli altri competitor non sono andati altrettanto bene. Per esempio:
- Apple, 69 giorni;
- Google, 44 giorni;
- Mozilla, 46 giorni;
- Microsoft, 83 giorni;
- Oracle, 109 giorni.
Secondo il conteggio di Project Zero, gli altri, che includono principalmente organizzazioni e aziende open source come Apache, Canonical, Github e Kubernetes, hanno una media di soluzione dei bug in 44 giorni.
Il dato interessante è che tutti stanno diventando più veloci nel correggere i bug di sicurezza. Nel 2021 infatti, gli operatori hanno impiegato in media 52 giorni per correggere le vulnerabilità di sicurezza segnalate. Solo tre anni fa la media era di 80 giorni. In particolare il gruppo Project Zero ha notato che Microsoft, Apple e Linux hanno ridotto significativamente il loro tempi di intervento negli ultimi due anni.
Per quanto riguarda i sistemi operativi mobili, iOS di Apple ha una media di risoluzione 70 giorni mentre Android segue con 72 giorni. In questo caso però il numero delle falle iOS era di 72 mentre Android solo 10.
Sul fronte browser i bug vengono risolti mediamente ad un ritmo più veloce. Chrome ha risolto i suoi 40 problemi, nel periodo esaminato, con una media di poco inferiore ai 30 giorni. Mozilla Firefox, con solo 8 bug di sicurezza, li ha corretti in una media di 37,8 giorni. Gli sviluppatori Webkit, il motore del browser web di Apple, impiegano in media oltre 72 giorni per correggere i bug.
Project Zero in generale pone un limite a 90 giorni per la risoluzione dei bug. La tendenza notata è in netto calo e la media è molto sotto i 90 giorni.
L’anno scorso solo un bug Android ha superato la scadenza per la correzione. Il dato generale è comunque in miglioramento rispetto agli anni precedenti ed è questa la buona notizia.
La spiegazione, a detta dei ricercatori di Project Zero, dovrebbe essere proprio nelle politiche di intervento che ora beneficiano di best practice nel settore alle quali l’open source ha contribuito in modo determinante. Di fatto a tutti conviene risolvere i bug velocemente ed in modo collaborativo.