Googleのセキュリティ分析チーム「Project Zero」は2月10日、「Project Zero: A walk through Project Zero metrics」において、過去3年間の脆弱性の修正にかかった日数に関する統計情報を公開した。2021年にProject Zeroから報告された脆弱性に対し、ベンダーが修正に要した日数は平均52日で、3年前の平均約80日に比べて大幅に短縮されたという。加えて、期限として設定されている期間(90日間+猶予期間14日間)内にバグの修正が完了しなかったベンダーが減少したことも報告されている。

Project Zeroは2019年1月から2021年12月の間に376件のバグをベンダーに報告しており、そのうちの351件(93.4%)が修正され、14件(3.7%)がベンダーによってWontFix(意図的な対応の中止)としてマークされたという。残りの11件(2.9%)が未修正のままで、そのうち修正期限を過ぎたものが8件あるとのことだ。

Project Zeroでは、ベンダーにバグを報告してから90日後にその技術情報の詳細を公開する方針をとっている。したがって、報告を受けたベンダーは90日以内に修正パッチをリリースすることが要求される。ただし、90日に間に合わなくても、104日以内に修正が期待できる場合には追加で14日間の猶予期間が設けられる。

今回のレポートで注目するべきポイントは、376件のバグのうちの約95%に上る328件のバグがこの期限内に修正されたということである。ベンダー各社が報告されたバグの修正に真摯に取り組んでいる姿勢がうかがえる。なお、2021年のみに焦点を当てた場合、104日の期限を過ぎたバグは1件だけだったという。

  • 2019年から2021年に報告されたバグの件数と修正期間に関する統計(引用:Project Zero)

    2019年から2021年に報告されたバグの件数と修正期間に関する統計 引用:Project Zero

全ベンダーを合わせて、バグの修正に要した平均日数は61日となっている。この日数を3年間の年別に見ると、2019年は67日、2020年は54日、そして2021年は52日で、年々短縮されていることがわかる。

  • 2019年から2021年の年別のバグ報告件数と修正日数

    2019年から2021年の年別のバグ報告件数と修正日数 引用:Project Zero

Project Zeroは、脆弱性の報告から情報公開までの期限を明確にすることで、ベンダーに迅速な修正パッチのリリースを促している。この方針には賛否の声があるものの、今回のレポートからは確かに情報公開のリスクがベンダーによる迅速な修正を後押ししている傾向が見て取れる。Project Zeroでは、トレンドがどのように進行するのかを理解するために今後もこれらの集計データの公開を続けていくという。それに加えてベンダーに対しても、外部から報告された脆弱性について、修正やパッチ適用までの時間に関する集計データの公開を検討するよう呼びかけている。