Linux è molto più sicuro rispetto a Microsoft Windows e a macOS, secondo i dati che emergono da un report del team Google Project Zero. Per chi non lo sapesse, Project Zero è un team di Google formato da analisti di sicurezza informatica che si occupa dell’individuazione di vulnerabilità e falle sia nei prodotti di Google stessa che in quelli di altri vendor.
Linux is better, parola di Google Project Zero
Quanto emerge dal report di Pj. Zero ci permette di dire che Linux è più sicuro grazie alla rapidità degli sviluppatori nel chiudere le falle di sicurezza. Quanto più rapidi rispetto agli altri? Facciamo parlare i numeri.
Tra gennaio 2019 e dicembre 2021, Project Zero ha scovato e segnalato 376 bug. Una volta scovata una falla e segnalata all’azienda il team dà 90 giorni di tempo per chiuderla. Ben 351 (dunque il 93,4%) bug su 376 sono stati corretti, 14 (3,7%) sono stati contrassegnati come “WontFix” dai vendor e 11 (2,9%) sono ancora aperti. Tuttavia, tre sono ancora entro il termine di 90 giorni. Nel periodo indicato (2019-2021) l’azienda che ha ricevuto più segnalazioni è stata Apple (84 bug) seguita da Microsoft (80) e da Google (56). Linux è al quarto posto con 25 bug.
Oracle fanalino di coda
Più che il numero di bug in termini assoluti sono due i dati importanti: la percentuale dei bug chiusi entro 90 giorni e il tempo medio di chiusura.
Apple ha corretto l’87% delle falle in 90 giorni, Microsoft il 76%, Google il 95% e gli sviluppatori del pinguino il 96%. Molto significativo anche il tempo medio per chiudere un bug: 69 giorni per Apple, 83 giorni per Microsoft, 44 giorni per Google e solo 25 giorni per Linux. In termini percentuali l’azienda peggiore è stata Oracle: sono 7 i bug segnalati di cui solo 3 sono stati corretti entro i 90 giorni. Questa la tabella riepilogativa:
Nella voce Others figurano queste aziende: Apache, ASWF, Avast, AWS, c-ares, Canonical, F5, Facebook, git, Github, glibc, gnupg, gnutls, gstreamer, haproxy, Hashicorp, insidesecure, Intel, Kubernetes, libseccomp, libx264, Logmein, Node.js, opencontainers, QT, Qualcomm, RedHat, Reliance, SCTPLabs, Signal, systemd, Tencent, Tor, udisks, usrsctp, Vandyke, VietTel, webrtc e Zoom.
Ovviamente va detto che il tempo necessario per chiudere un bug dipende anche dalla cadenza dei rilasci. Più un software viene aggiornato di frequente e più rapidamente i bug-fix arrivano sui PC dell’utente. Per questo Google Project Zero invita a ridurre i tempi dei cicli di rilascio: tanti rilasci minori sono meglio di un unico grande aggiornamento.
Tirando le somme…
Complessivamente i risultati dell’industria sono buoni: in media i fornitori hanno superato la scadenza solo il 5% delle volte. Altro dato positivo è il decrescere del numero dei bug con il passare degli anni:
Inoltre, il tempo per sistemare le falle è diminuito costantemente, ma in modo più significativo tra il 2019 e il 2020. Nel 2021 solo una falla ha richiesto oltre 90 giorni per essere chiusa. Forse la cosa più impressionante è che le aziende non rappresentate nel grafico (voce Others) hanno ridotto i loro tempi per la gestione di un bug di oltre la metà.
Se siete curiosi potete leggere l’intera analisi sul blog ufficiale del team Project Zero.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.