Nell’ormai lontano 2014, Google avviò un programma dedicato alla ricerca di vulnerabilità zero-day, ovvero già diffuse e sfruttabili – pertanto da chiudere il prima possibile. Quello sforzo prese il nome di “Project Zero”, e tutt’ora è una delle fonti più autorevoli per l’individuazione di bug di sicurezza. E infatti, ci capita di citarlo spesso.
Questa volta però non parliamo di bug, ma di un’analisi sulla velocità di risoluzione degli stessi, comparando le prestazioni di vari gruppi di lavoro negli ultimi 3 anni (gennaio 2019 – dicembre 2021).
E qualche risultato sorprendente c’è.
Togliendo i bug ancora non risolti, fuori dal periodo di 90 giorni, delle 376 problematiche rilevate nel periodo ne rimangono circa 350 da analizzare, e più della metà di queste si concentra su tre aziende soltanto: Microsoft (26%), Apple (23%) e Google (16%). Il primo progetto open-source che appare in questa lista è Linux, con circa il 7% dei report, e solo dopo altri nomi: Adobe, Mozilla, Samsung, Oracle. Il dettaglio delle altre 38 aziende coinvolte non è fornito, ma messe assieme pesano come Google da sola.
Ancor più interessante il tempo necessario per risolvere i bug: in generale si è visto un miglioramento, con Apple che è passata da 71 a 64 giorni, Microsoft da 85 a 76 e Linux da 32 giorni a 15. Unica pecora nera è Google stessa, che passa da 49 a 53 giorni.
Anche il numero di bug da risolvere, anno per anno, è andato diminuendo, segno che il software diventa man mano più sicuro. Anche in questo caso Google è l’unica azienda in controtendenza, sebbene di poco.
Il confronto non può essere usato come metro di paragone sulla sicurezza dei prodotti rilasciati dalle varie aziende, sia perché numero e tipo di di problematiche non sono comparabili, sia perché alcune (Apple, Microsoft e Google) hanno molte tipologie nella loro offerta, come sistema operativo, cellulari, browser. Non avrebbe senso paragonare l’intera Google a Linux, che fa solo il Kernel, o a Mozilla che si occupa (praticamente) solo di browser.
Ma queste metriche possono essere usate come stima della qualità del lavoro e della sua organizzazione: più velocemente si risolvono i bug, meglio si lavora. E in questo possiamo dire che il pinguino si distingue in positivo: per nulla scontato, essendo il progetto open-source più vasto al mondo con oltre un milione di partecipanti.
Il post, se avete interesse, prosegue con una serie di analisi più dettagliate, compresi OS dei cellulari e browser. Si chiude con la speranza, quasi una promessa, di ripetere questo tipo di analisi, nonché l’esortazione alle varie aziende di farne e pubblicarne loro stesse. Noi diremo solo che l’idea ci piace.
Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.