Google Project Zero: Niemand stopft Sicherheitslöcher schneller als Linux-Entwickler

Googles Project Zero hat untersucht, wie lange Entwickler benötigen, um Sicherheitslücken in verschiedenen Betriebssystemen und Anwendungen zu schließen. Dabei stellten sie fest, das Linux-Entwickler schneller arbeiten als die Entwickler anderer Anbieter – auch schneller als Googles eigene Mitarbeiter.

Über einen Zeitraum von Januar 2019 bis Dezember 2021 ermittelte Google, dass Probleme in Linux von Open-Source-Programmierern in durchschnittlich 25 Tagen behoben wurden. Benötigten die Entwickler im Jahr 2019 noch durchschnittlich 32 Tage, verkürzte sich der Zeitraum auf nur noch 15 Tage im Jahr 2021.

Auffällig ist aber auch, dass kein anderer Anbieter ähnlich schnell arbeitet wie Linux-Entwickler. Für seine eigene Software kam Google auf eine Bearbeitungszeit von durchschnittlich 44 Tage. Einen ähnlich guten Wert erreichte Mozilla mit 46 Tagen. Bei Apple sollen es 69 Tage sein und Microsoft soll sogar durchschnittlich 83 Tage benötigen, um einen Fix für ein Sicherheitsproblem zu entwickeln. Ein Schlusslicht ist Oracle mit einem Durchschnittswert von 109 Tagen.

Google weist aber auch darauf hin, dass nicht nur Linux-Entwickler, sondern generell auch die anderen Anbieter zwischen 2019 und 2021 ihre Bearbeitungszeit für Patches verkürzt haben. 2019 lag der Branchendurchschnitt bei 80 Tagen. Für das Jahr 2021 errechnet Google lediglich 52 Tage. Neben Linux hätten vor allem auch Microsoft und Apple die benötigten Zeiträume für die Entwicklung von Patches deutlich reduziert.

Google Statistik zeigt aber auch, dass Apples Mobilbetriebssystem iOS und Googles Android in Bezug auf die Patch-Entwicklung auf Augenhöhe liegen. Während ein Patch für iOS im Schnitt 70 Tage benötigt, sind es bei Android 72 Tage. Ähnliche Ergebnisse erzielten auch Chrome und Firefox mit 40 beziehungsweise 37,8 Tagen. Schlechter sieht es für Apples Browser-Engine WebKit aus – deren Entwickler benötigen im Schnitt 72 Tage, um Fehler zu beseitigen.

Allerdings gilt für die Auswertung von Googles Project Zero eine wichtige Einschränkung. Erfasst wurde nur Schwachstellen, die von Mitarbeitern von Project Zero entdeckt wurden. Unklar ist somit, inwieweit diese Daten für die genannten Anbieter sowie deren Betriebssysteme und Anwendungen repräsentativ sind.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago