谷歌的“零项目”现在对如何披露安全漏洞更加体贴

原标题:谷歌的“零项目”现在对如何披露安全漏洞更加体贴

谷歌的“零项目”网络安全团队正在试验一项新政策,该政策不会在补丁发布后提前公布安全漏洞。“默认情况下是整整90天,不管错误是什么时候修复的”,这是团队的新政策,在决定是否永久采用之前,它将试用一年。

在旧系统下,零项目的研究人员会给供应商90天的时间来解决问题,然后再将问题公之于众。但是,如果在90天内发布补丁程序,它将会尽早暴露漏洞。这可能是个问题,因为这意味着用户必须在黑客利用漏洞之前匆忙修补漏洞。公司可能会修复漏洞,但如果补丁没有被广泛采用,那也没关系。

用户只有在安装了补丁后才是安全的

所以现在,无论补丁是在零项目让供应商意识到问题后20天还是90天发布,它仍然需要等待90天才能公开发布。不过,也有一些例外。一是当两家公司达成“共同协议”提前披露时,如果供应商需要更长的时间来组装补丁,“零号工程”也可能将最后期限延长14天。在野外被利用的漏洞的七天期限将保持不变。

除了让补丁有更多的时间被采用,零项目还表示希望新政策能提高一致性,让供应商更好地了解漏洞何时会被公开。它还表示,它渴望看到发布更多迭代和彻底的补丁,这要归功于供应商在补丁最初发布和它所解决的漏洞公开之间的时间。

尽管发生了这些变化,零项目团队表示,到目前为止,他们对披露期的运作大体上感到满意。2014年,当该团队开始工作时,它说bug有时在被发现六个月后仍未修复。现在,在它发现的问题中(有很多),它说97.7%的问题在90天内得到了修补。

欢迎关注MiHomes,将持续为您推送高质量科技资讯。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
免费获取
今日搜狐热点
今日推荐