谷歌的Project Zero正在考虑如何公开安全漏洞

ebaina_ 2020-01-09 09:50:03 1529

谷歌的Project Zero网络安全团队正在试验一项新政策,即在发布补丁后,不会将安全漏洞提前公之于众。“默认情况下整整90天,不管bug什么时候修复”是该团队的新策略,在决定是否永久采用它之前,它将试用一年。

在旧的系统下,Project Zero的研究人员将给供应商90天的时间来解决问题,然后再将问题公布于众。然而,如果在90天的窗口内发布补丁,它将提前暴露漏洞。这可能是个问题,因为这意味着用户必须在黑客利用漏洞之前赶紧修补漏洞。该公司可能会修复一个漏洞,但如果这个补丁没有被广泛采用,那也没关系。

用户只有在安装了补丁之后才安全

所以现在,无论补丁是在Project Zero让供应商意识到问题的20天后发布,还是在90天后发布,它仍然要等待90天才能将问题公布于众。不过也有几个例外。一个是,当两家公司达成“相互协议”,要提前披露时,Project Zero也可能会把最后期限延长14天,如果供应商需要更长的时间来制作补丁的话。7天期限的漏洞在野外被利用将保持不变。

Project Zero表示,除了给补丁更多的采纳时间外,它还希望新政策能提高一致性,让供应商更好地了解何时将漏洞公布于众。它还说,它渴望看到更多的迭代和彻底的补丁发布,感谢供应商现在将有时间之间的补丁最初发布和它所解决的漏洞被公开。

尽管有了这些变化,Project Zero的团队表示,他们对目前为止的信息披露情况非常满意。2014年,当这个团队开始他们的工作时,他们说有时候bug在被发现六个月后还没有被修复。现在,在它确定的问题中(已经有很多),它说97.7%的补丁在90天的窗口内。


声明:本文由易百纳技术社区编写,文章内容来自The verge,版权归原作者所有,转载请注明出处,如有侵权请联系删除。

声明:本文内容由易百纳平台入驻作者撰写,文章观点仅代表作者本人,不代表易百纳立场。如有内容侵权或者其他问题,请联系本站进行删除。
ebaina_
红包 点赞 收藏 评论 打赏
评论
0个
内容存在敏感词
手气红包
    易百纳技术社区暂无数据
相关专栏
关于作者
ebaina_

ebaina_

暂无个性签名~

原创40
阅读8.3w
收藏1
点赞2
评论0
打赏用户 0
我要创作
分享技术经验,可获取创作收益
分类专栏
置顶时间设置
结束时间
删除原因
  • 广告/SPAM
  • 恶意灌水
  • 违规内容
  • 文不对题
  • 重复发帖
打赏作者
易百纳技术社区
ebaina_
您的支持将鼓励我继续创作!
打赏金额:
¥1易百纳技术社区
¥5易百纳技术社区
¥10易百纳技术社区
¥50易百纳技术社区
¥100易百纳技术社区
支付方式:
微信支付
支付宝支付
易百纳技术社区微信支付
易百纳技术社区
打赏成功!

感谢您的打赏,如若您也想被打赏,可前往 发表专栏 哦~

举报反馈

举报类型

  • 内容涉黄/赌/毒
  • 内容侵权/抄袭
  • 政治相关
  • 涉嫌广告
  • 侮辱谩骂
  • 其他

详细说明

审核成功

发布时间设置
发布时间:
是否关联周任务-专栏模块

审核失败

失败原因
备注
拼手气红包 红包规则
祝福语
恭喜发财,大吉大利!
红包金额
红包最小金额不能低于5元
红包数量
红包数量范围10~50个
余额支付
当前余额:
可前往问答、专栏板块获取收益 去获取
取 消 确 定

小包子的红包

恭喜发财,大吉大利

已领取20/40,共1.6元 红包规则

    易百纳技术社区