バグの修正にかかる時間は年々短くなっている、一番修正が迅速なのはどこ？

Googleの脆弱性(ぜいじゃくせい)発見チーム「Project Zero」が2022年2月10日に、2019年から2021年の間に発見されたバグとその修正の実態についてのレポートを発表しました。これにより、脆弱性が発見されてからパッチがリリースされるまでの期間が大きく短縮されたことや、IT大手各社の中でもバグ修正にかかる時間に開きがあることなどが分かりました。

Project Zero: A walk through Project Zero metrics
https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html

以下は、Project Zeroが2019年から2021年の間に発見したバグとその修正期間をまとめた表で、タイトル行の項目は左から「ベンダー」「バグの総数」「90日以内に修正されたもの」「90日を過ぎたがさらに14日の猶予期間内に修正されたもの」「締め切り超過もしくはレポート作成時点で猶予期間内のもの」「修正までの平均日数」です。その他を除く大手ベンダーのうち、最も修正までに要する時間が短いのはLinuxで、修正までの平均日数は25日でした。また、全てのベンダーがバグ修正までに要する日数の平均は61日間でした。

バグの件数や、修正までにかかる日数は年々少なくなってきています。以下は、バグの件数が最も多い上位4ベンダーとその他のベンダーのバグ件数を年ごとに分けた表で、各セルの括弧内の数字は修正までの平均日数です。2019年には199件のバグが発見されましたが、2021年に発見されたバグは63件でした。また、バグの修正までにかかる日数も、平均67日から52日へと短縮されています。Project Zeroによると、2019年と2020年には締め切りを過ぎてしまったバグが平均9件ありましたが、2021年は1件しかなかったとのことです。

さまざまなプラットフォームで発見されたバグのうち、モバイルOSのものに絞ったものが以下。iOSとAndroidとで比較すると、バグが発見されてから修正までの日数はほぼ同じでした。一方、発見件数はiOSが76件だったのに対しAndroidはSamsung製スマートフォンとGoogle製スマートフォンのPixelシリーズを合わせても16件と開きがありました。Project Zeroはこれについて、「調査の不均衡が原因ではなく、Appleがソフトウェアをリリースする方法が反映されたものです。iOSではiMessage、Facetime、Safariといった個別のアプリのセキュリティアップデートもOSのアップデートの一部としてリリースされるため、それがiOSの不具合としてカウントされています。一方、AndroidのアプリはGoogle Play Storeを通じて修正が行われるため、カウントされていません」と説明しています。

また、OSではなくブラウザのバグを修正までの日数ごとに比較すると、バグ修正までにかかる日数が短いブラウザが分かります。以下は縦軸にバグの件数、横軸に修正に要した日数を取ったグラフで、Mozilla Firefoxが黄色、Safariに使用されているレンダリングエンジンのWebkitが赤色、Google Chromeが青色で塗り分けられています。

よく使われるブラウザのうち、最もバグ修正までの時間が短いのはChromeで、バグレポートを受けてから安定版が修正されるまでの期間は平均30日間、修正パッチが公開されるまでの期間は5日間とのこと。一方、Firefoxが修正版をリリースするまでの期間は平均38日間、WebKitでは平均73日間でした。なお、Project Zeroは「私たちはGoogleの会社内のチームですが、外部のセキュリティ研究者と同じ手順とポリシーにのっとってChromeにバグを指摘しています」としています。

その上でProject Zeroは、全体の傾向について「過去3年間で、ほとんどのベンダーは修正パッチのリリースを加速させており、修正に要する期間を約52日間まで短縮させました。2021年だけに限れば、期限を過ぎたバグは1件しかありません。この傾向は、責任ある開示ポリシーが業界のデファクトスタンダードとなり、ベンダーが期限の異なるバグレポートにも迅速に対応する体制を整えたことを反映していると推測しています。また、業界の透明性が高まっているのは、ベンダーが互いにベストプラクティスを学びあっているからではないかとも考えています」と分析しました。