谷歌Project Zero团队宣布新政策 漏洞披露前将有完整的90天缓冲期

发表于:2020-1-09 09:26

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:cnBeta

#
漏洞
#
谷歌
分享:
  谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知,但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整 90 天。即便如此,谷歌还是对过去五年的政策表现感到满意,指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。
 
  (题图 via 9to5Google)
  相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。
  那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。
  ● 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情;
  ● 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情!
  当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。
  (1)现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。
  (2)然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。
  (3)改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。
  最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号