核心概念
CPython 漏洞的修復時間主要受漏洞報告者特性影響,而非漏洞嚴重程度或其他因素。
書目資訊
Ruohonen, J. (2024). An Empirical Study of Vulnerability Handling Times in CPython. arXiv preprint arXiv:2411.00447v1.
研究目標
本研究旨在探討 CPython 漏洞處理時間的長短,以及哪些因素會影響處理時間。具體來說,研究探討了漏洞修復時間和 CVE 協調時間,並分析了報告者、漏洞嚴重程度、POC 程式碼、提交次數、評論數量和參考數量等因素對處理時間的影響。
研究方法
本研究採用量化分析方法,以 CPython 漏洞追蹤系統中的 93 個漏洞數據為樣本,使用普通最小二乘法(OLS)和 Huber's M-estimator 進行迴歸分析,以探討各個因素與漏洞處理時間之間的關係。
主要發現
CPython 漏洞的數量逐年增加,且許多漏洞的嚴重程度相當高。
CPython 漏洞的修復時間和 CVE 協調時間都相當長,平均修復時間約為九個月。
迴歸分析結果顯示,漏洞報告者的身份是影響漏洞修復時間的最主要因素,而漏洞嚴重程度、POC 程式碼、提交次數、評論數量和參考數量等因素則沒有顯著影響。
主要結論
研究結果顯示,CPython 漏洞的修復時間主要受漏洞報告者特性影響,這意味著提高漏洞報告質量對於縮短漏洞處理時間至關重要。
研究意義
本研究揭示了 CPython 漏洞處理時間的現狀,並發現了影響處理時間的關鍵因素,這為提高 CPython 安全性和制定更有效的漏洞處理策略提供了參考依據。
研究限制與未來方向
本研究僅分析了 CPython 單一案例,未來可進一步研究其他程式語言的漏洞處理時間,並探討不同程式語言之間是否存在差異。此外,未來研究還可以探討漏洞報告者特性的具體影響機制,以及如何制定相應的措施來提高漏洞報告質量。
統計資料
CPython 漏洞的平均修復時間為 119 天,中位數為 267 天。
CPython 漏洞的平均 CVE 協調時間為 157 天。
約有 13% 的 CPython 漏洞的 CVSS(v. 3)基本分數高於 8 分。