Google Project Zero: Niemand stopft Sicherheitslöcher schneller als Linux-Entwickler

Googles Project Zero hat untersucht, wie lange Entwickler benötigen, um Sicherheitslücken in verschiedenen Betriebssystemen und Anwendungen zu schließen. Dabei stellten sie fest, das Linux-Entwickler schneller arbeiten als die Entwickler anderer Anbieter – auch schneller als Googles eigene Mitarbeiter.

Über einen Zeitraum von Januar 2019 bis Dezember 2021 ermittelte Google, dass Probleme in Linux von Open-Source-Programmierern in durchschnittlich 25 Tagen behoben wurden. Benötigten die Entwickler im Jahr 2019 noch durchschnittlich 32 Tage, verkürzte sich der Zeitraum auf nur noch 15 Tage im Jahr 2021.

Auffällig ist aber auch, dass kein anderer Anbieter ähnlich schnell arbeitet wie Linux-Entwickler. Für seine eigene Software kam Google auf eine Bearbeitungszeit von durchschnittlich 44 Tage. Einen ähnlich guten Wert erreichte Mozilla mit 46 Tagen. Bei Apple sollen es 69 Tage sein und Microsoft soll sogar durchschnittlich 83 Tage benötigen, um einen Fix für ein Sicherheitsproblem zu entwickeln. Ein Schlusslicht ist Oracle mit einem Durchschnittswert von 109 Tagen.

Google weist aber auch darauf hin, dass nicht nur Linux-Entwickler, sondern generell auch die anderen Anbieter zwischen 2019 und 2021 ihre Bearbeitungszeit für Patches verkürzt haben. 2019 lag der Branchendurchschnitt bei 80 Tagen. Für das Jahr 2021 errechnet Google lediglich 52 Tage. Neben Linux hätten vor allem auch Microsoft und Apple die benötigten Zeiträume für die Entwicklung von Patches deutlich reduziert.

Google Statistik zeigt aber auch, dass Apples Mobilbetriebssystem iOS und Googles Android in Bezug auf die Patch-Entwicklung auf Augenhöhe liegen. Während ein Patch für iOS im Schnitt 70 Tage benötigt, sind es bei Android 72 Tage. Ähnliche Ergebnisse erzielten auch Chrome und Firefox mit 40 beziehungsweise 37,8 Tagen. Schlechter sieht es für Apples Browser-Engine WebKit aus – deren Entwickler benötigen im Schnitt 72 Tage, um Fehler zu beseitigen.

Allerdings gilt für die Auswertung von Googles Project Zero eine wichtige Einschränkung. Erfasst wurde nur Schwachstellen, die von Mitarbeitern von Project Zero entdeckt wurden. Unklar ist somit, inwieweit diese Daten für die genannten Anbieter sowie deren Betriebssysteme und Anwendungen repräsentativ sind.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago