修 Bug 哪家强？谷歌：Linux，比我都修得好

修 Bug 哪家强？谷歌：Linux，比我都修得好

过去三年内，谁家程序员修 Bug 最强？

Linux。

谷歌如是说。因为在他们最新发布的安全漏洞修复报告中，Linux 修一个 Bug 平均只要 15 天，所用时间最少：

（甚至比谷歌自家都要快）

上述数据来源于谷歌在 2014 年开展的零计划（Project Zero）项目，由谷歌内部的顶级安全大佬参与，群专门对全世界的移动操作系统、 Web 浏览器和开源库进行漏洞发掘和研究。

在发现漏洞后，谷歌会向各大供应商报告这些漏洞，并定期追踪报告的修复情况。

这次报告的时间从 2019 年到 2021 年，整体来看，各大厂程序员在修 Bug 上是越来越娴熟了：

在 3 年前，平均三个月才能修完，还会有各种超过最后期限的拖延，到 2021 年就仅需52 天，全年总共只有一个 Bug 超过了修复期限……

（别急，最后告诉你这个最强拖延症到底是谁）

接下来，我们就来公开处刑一下各大厂商的 Bug 修复情况。

Oracle 最拖延，Chrome、iOS YYDS

首先，在过去 3 年内，谷歌共向全世界供应商们报告了 376 个问题，其中有 93.4% 已被修复，3.7% 被标记为 WontFix（不会修复），还有 2.9% 的 Bug 仍未被修复。

再来看看具体赛道。

报告首先祭出了令无数打工人心头一颤的名词，Deadline。

谷歌给出的标准修复期限是 90 天，宽限期 14 天，超过 104 天之后即被视为延迟。

从这一维度来看，大多数都能在 104 天内完成绝大多数 Bug（90% 以上）的修复，其中 Oracle 展现出了非常明显的拖延症，即有超过一半（57%）的 Bug 都是在 deadline 之后修的：

不过，人家的 Bug 数也是最少的，总共只有 7 个……

Bug 的平均修复时间也就是我们开头放出的那张表，整体上大家的 Bug 都越修越快，Linux 新的一年更是平均半个月（15 天）就能修复。

不过也有个别厂商速度出现了倒退，比如报告的发布人谷歌，2021 年的报告修复天数比 2020 年多了一倍不止……

Web 浏览器上，有一张 Chrome、Webkit、Firefox 三大浏览器从 " 漏洞公开 " 到 " 补丁发布 " 所用的时间分布图：

可以看到，大多数情况下，Chrome 在 40 天之内就能修好 Bug，而 Webkit 的周期则拉得更长。

谷歌在报告中解释到，由于 Webkit 是 iOS 平台上唯一允许使用的浏览器引擎，其改动会影响到 iOS 中使用的所有浏览器，所以它的长周期也是可以理解的。

统计过去三年的平均修复天数，Chrome 也是 YYDS，只有 30 天左右：

报告里提出，Chrome 安全漏洞的快速修复时间或许与其本身的版本更新速度有关。

在移动操作系统中，iOS 被报告的 Bug 数量最多，平均修复时间最短：

不过，苹果会将 iMessage、 Facetime 和 Safari/WebKit 等 " 应用程序 " 的安全更新也作为操作系统更新的一部分发布，因此，iOS 的整体数量就显得更多。

而由于 Android 的应用程序是通过 Google Play Store 进行安全更新的，因此谷歌并没有将这些更新算入报告中。

One More Thing

最后，公布一下谷歌零计划选出的 " 最强拖延症 " ——来自 Android 在 2021 年 9 月 2 日发布的漏洞，至此已有 4 个多月：

内容描述是 vold ’ s incremental-fs APIs trust paths from system_server for mounting，一个和 IncFS 系统的信任路径有关的问题……

嗯。

参考链接：

[ 1 ] https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html

[ 2 ] https://Bugs.chromium.org/p/project-zero/issues/list?colspec=ID%20Status%20Restrict%20Finder%20Reported%20Deadline%20Remaining%20CVE%20Vendor%20Product%20Summary&q=id%3E%3D2137%20Deadline%3DExceeded%20-Deadline-Grace&can=1