Географическое распределение вендоров, в продуктах которых исследователи нашли уязвимости

Эксперты Positive Technologies проанализировали собственный опыт взаимодействия с 84 поставщиками программного и аппаратного обеспечения за 2022–2023 годы по вопросам ответственного и координированного раскрытия уязвимостей. Аналитики называют основными проблемами в этой области недостаточную ясность и структурированность взаимодействия вендоров (производителей различного ПО) с исследователями и неоднородность реакции первых на информацию об обнаруженных в их продуктах уязвимостях.

Под ответственным раскрытием (Responsible Disclosure) подразумевается схема, когда исследователи сообщают вендору об уязвимости и дают ему разумный срок для исправления проблемы, по истечении которого публикуют информацию об уязвимости. Если вендор усложняет взаимодействие или не участвует в процессе устранения уязвимостей, то исследователи также могут раскрыть информацию об уязвимости.

Эксперты по анализу защищенности за 2022–2023 годы выявили более 250 уязвимостей, 70% из которых — высокого и критического уровня опасности.

Ключевые выводы:

• у 39% вендоров была минимальная задержка (всего один день) между получением отчета об уязвимости от исследователей и выходом на контакт с ними;
• доля вендоров, справившихся с оперативным реагированием и выпуском обновлений в наиболее желательный интервал от одного дня до двух недель, составила 14%;
• почти половина вендоров (49%) выпускала исправления в течение трех месяцев, а у 37% на это ушло больше квартала;
• 27% из поставщиков имели четко определенную и явно указанную на сайте политику раскрытия уязвимостей и контакты для связи. У 21% вендоров были активные программы на платформах Bug Bounty.

Расскажите знакомым: