Google Project Zero: Niemand stopft Sicherheitslöcher schneller als Linux-Entwickler

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Sie benötigen für einen Patch durchschnittlich 25 Tage. Google selbst schafft es nicht unter 44 Tagen. Generell bescheinigt Google den Softwareanbietern, dass sie die Bearbeitungszeit für Patches seit 2019 kontinuierlich verkürzen.

Googles Project Zero hat untersucht, wie lange Entwickler benötigen, um Sicherheitslücken in verschiedenen Betriebssystemen und Anwendungen zu schließen. Dabei stellten sie fest, das Linux-Entwickler schneller arbeiten als die Entwickler anderer Anbieter – auch schneller als Googles eigene Mitarbeiter.

Über einen Zeitraum von Januar 2019 bis Dezember 2021 ermittelte Google, dass Probleme in Linux von Open-Source-Programmierern in durchschnittlich 25 Tagen behoben wurden. Benötigten die Entwickler im Jahr 2019 noch durchschnittlich 32 Tage, verkürzte sich der Zeitraum auf nur noch 15 Tage im Jahr 2021.

Auffällig ist aber auch, dass kein anderer Anbieter ähnlich schnell arbeitet wie Linux-Entwickler. Für seine eigene Software kam Google auf eine Bearbeitungszeit von durchschnittlich 44 Tage. Einen ähnlich guten Wert erreichte Mozilla mit 46 Tagen. Bei Apple sollen es 69 Tage sein und Microsoft soll sogar durchschnittlich 83 Tage benötigen, um einen Fix für ein Sicherheitsproblem zu entwickeln. Ein Schlusslicht ist Oracle mit einem Durchschnittswert von 109 Tagen.

Google weist aber auch darauf hin, dass nicht nur Linux-Entwickler, sondern generell auch die anderen Anbieter zwischen 2019 und 2021 ihre Bearbeitungszeit für Patches verkürzt haben. 2019 lag der Branchendurchschnitt bei 80 Tagen. Für das Jahr 2021 errechnet Google lediglich 52 Tage. Neben Linux hätten vor allem auch Microsoft und Apple die benötigten Zeiträume für die Entwicklung von Patches deutlich reduziert.

Google Statistik zeigt aber auch, dass Apples Mobilbetriebssystem iOS und Googles Android in Bezug auf die Patch-Entwicklung auf Augenhöhe liegen. Während ein Patch für iOS im Schnitt 70 Tage benötigt, sind es bei Android 72 Tage. Ähnliche Ergebnisse erzielten auch Chrome und Firefox mit 40 beziehungsweise 37,8 Tagen. Schlechter sieht es für Apples Browser-Engine WebKit aus – deren Entwickler benötigen im Schnitt 72 Tage, um Fehler zu beseitigen.

Allerdings gilt für die Auswertung von Googles Project Zero eine wichtige Einschränkung. Erfasst wurde nur Schwachstellen, die von Mitarbeitern von Project Zero entdeckt wurden. Unklar ist somit, inwieweit diese Daten für die genannten Anbieter sowie deren Betriebssysteme und Anwendungen repräsentativ sind.