Компания Red Hat выступила с оценкой анализа рисков, связанных с скоростью удаления уязвимостей, найденных в продуктах Red Hat за 2016 год. В прошлом году в RHEl было найдено 50 критических уязвимостей. Примечательно что критически важные уязвимости были исправлены в течении суток, но только после появления общедоступной информации о данных уязвимостях.

В этот же и в следующий день, после появления публичной информации о уязвимостях, было иправлено 76% срьёзных уязвимостей, а за неделю -около 100% во всех продуктах Red Hat. В 2016 коду отдел безопасности Red Hat изучил около 2600 уязвимостей, затрагивающих системы GNU/linux, это на 30% больше чем в 2015 году. Продукты Red Hat имели 1346 уязвимостей, где самые серьёзные как обычно касались веб-браузеров, то есть на серверах количество серьёзных уязвимостей было незначительным. О 394 (29%) уязвимостях отделу безопасности Red Hat стало известно до появления информации о уязвимостях за пределами Red Hat.

Сведения о 65.5% стали известны благодаря спискам рассылок и мониторингу объявлений upstream-проектов. Информация о 12.8% получена благодаря уведомлениям от представителей upstream-проектов. Сотрудники Red Hat выявили лишь 65,5% всех уязвимостей. Сведения о 5,6% получены благодаря частной переписке с командой безопасности и с клиентами, столкнувшимися с проблемами. 3,6% уязвимостей сообщили представители других дистрибутивов, через закрытый форум. 1.9% уязвимостей выявлено во время изучения новых идентификаторов CVE.

http://www.opennet.ru/opennews/art.shtml?num=46200