Qui écrit les bogues ? Une analyse approfondie de 125 000 vulnérabilités de noyau

Introduction

L'analyse des vulnérabilités de noyau est un sujet crucial pour la sécurité des systèmes d'exploitation. Dans cet article, nous allons examiner les résultats d'une analyse de 125 000 bogues de noyau pour comprendre qui introduit les vulnérabilités, quand elles sont introduites et comment les réduire.

Contexte Technique

L'analyse a porté sur 1,4 million de commits pour cartographier le paysage corporatif du noyau Linux. Les résultats montrent que Intel contribue le plus de bogues, mais cela est dû à leur grande contribution de code. Les super-reviseurs, qui sont des développeurs qui fixent des bogues rapidement, ont un impact significatif sur la réduction des vulnérabilités.

Les super-reviseurs sont définis comme des développeurs qui ont fixé plus de 100 bogues et ont un temps de correction moyen 20% inférieur à la moyenne globale. Il y a 117 super-reviseurs qui répondent à ces critères, et leur impact est important.

Analyse et Implications

L'analyse a révélé que les commits de week-end sont moins susceptibles d'introduire des vulnérabilités, mais qu'ils prennent 45% plus de temps à corriger. Les super-reviseurs fixent des bogues plus rapidement que les autres développeurs, et leur couverture a augmenté de 15% à 30% au cours de la dernière décennie.

Les résultats montrent également que les bogues fixés par l'auteur original sont trouvés 3 fois plus rapidement. Cela suggère que la propriété du code est importante et que les développeurs devraient être encouragés à maintenir la propriété de leur code pour réduire les vulnérabilités.

Perspective

Les résultats de cette analyse ont des implications concrètes pour l'amélioration des processus de développement de logiciels. En encourageant les développeurs à maintenir la propriété de leur code et en promouvant les super-reviseurs, nous pouvons réduire les vulnérabilités et améliorer la sécurité des systèmes d'exploitation.

Il est important de noter que les résultats de cette analyse sont basés sur des données historiques et qu'il est nécessaire de continuer à surveiller et à analyser les vulnérabilités pour identifier les tendances et les modèles qui pourraient aider à améliorer la sécurité des systèmes d'exploitation.