As distribuições Linux são realmente mais seguras que o Windows ou o macOS? Esta é uma questão que sempre envolve debates. Porém, agora acaba de sair uma constatação prática. O Project Zero do Google tem algumas descobertas interessantes relacionadas à correção de falhas de segurança. De acordo com o Project Zero, os desenvolvedores Linux corrigem falhas de segurança mais rápido que Apple, Google ou Microsoft.
O programa de pesquisa de segurança do Google publicou informações relacionadas a falhas de segurança encontradas em softwares ao longo de dois anos. Entre janeiro de 2019 e dezembro de 2021, a equipe do Project Zero descobriu que os desenvolvedores do Linux resolvem problemas muito mais rápido do que a própria Apple, Microsoft ou Google.
No relatório, o Project Zero do Google compartilha alguns dados interessantes. Assim, mostram que o software da Apple possui 84 ??vulnerabilidades de segurança, Microsoft 80, Google 56 e Linux apenas 25. No entanto, é a velocidade e a eficiência da correção de problemas que importam de fato.
Enquanto a Apple conseguiu corrigir 87% dos bugs em 90 dias após o problema ser relatado, a Microsoft conseguiu apenas 76%. O Google teve um bom desempenho ao corrigir 95% das falhas de segurança dentro da janela de 90 dias, enquanto os desenvolvedores do Linux corrigiram impressionantes 96%.
Desenvolvedores Linux corrigem falhas de segurança mais rápido que Apple, Google ou Microsoft
E quando prestamos atenção para valer nas informações das quatro principais plataformas – Apple, Google, Linux e Microsoft, vemos que o fabricante do Windows é o mais lento na correção de problemas. A Microsoft levou em média 83 dias para corrigir os bugs, com a Apple em segundo lugar com 69 dias. A correção do bug do Google leva em média 44 dias. No entanto, os problemas com o software Linux se resolvem em uma velocidade vertiginosa: uma média de apenas 25 dias.
Apresentando sua descoberta, o Project Zero diz:
Entre 2019 e 2021, o Project Zero relatou 376 problemas aos fornecedores em nosso prazo padrão de 90 dias. 351 (93,4%) desses bugs tiveram correção, enquanto 14 (3,7%) receberam marcação como WontFix pelos fornecedores. 11 (2,9%) outros bugs permanecem sem correção. Mesmo assim, no momento da redação deste artigo, 8 tenham passado do prazo para serem corrigidos; os 3 restantes ainda estão dentro do prazo.
A maioria das vulnerabilidades está agrupada em torno de alguns fornecedores, com 96 bugs (26%) relatados à Microsoft, 85 (23%) à Apple e 60 (16%) ao Google.
O relatório conclui dizendo:
Adoraríamos ter ainda mais informações sobre os processos e cronogramas de nossos fornecedores. Incentivamos todos os fornecedores a considerar a publicação de dados agregados sobre seu tempo de correção e tempo de correção para vulnerabilidades relatadas externamente.
Por meio de mais transparência, compartilhamento de informações e colaboração em todo o setor, acreditamos que podemos aprender com as melhores práticas uns dos outros, entender melhor as dificuldades existentes e, esperamos, tornar a Internet um lugar mais seguro para todos.
O relatório completo está disponível para leitura aqui.