谷歌的Project Zero网络安全团队正在试验一项新政策,即在发布补丁后,不会将安全漏洞提前公之于众。“默认情况下整整90天,不管bug什么时候修复”是该团队的新策略,在决定是否永久采用它之前,它将试用一年。
在旧的系统下,Project Zero的研究人员将给供应商90天的时间来解决问题,然后再将问题公布于众。然而,如果在90天的窗口内发布补丁,它将提前暴露漏洞。这可能是个问题,因为这意味着用户必须在黑客利用漏洞之前赶紧修补漏洞。该公司可能会修复一个漏洞,但如果这个补丁没有被广泛采用,那也没关系。
用户只有在安装了补丁之后才安全
所以现在,无论补丁是在Project Zero让供应商意识到问题的20天后发布,还是在90天后发布,它仍然要等待90天才能将问题公布于众。不过也有几个例外。一个是,当两家公司达成“相互协议”,要提前披露时,Project Zero也可能会把最后期限延长14天,如果供应商需要更长的时间来制作补丁的话。7天期限的漏洞在野外被利用将保持不变。
Project Zero表示,除了给补丁更多的采纳时间外,它还希望新政策能提高一致性,让供应商更好地了解何时将漏洞公布于众。它还说,它渴望看到更多的迭代和彻底的补丁发布,感谢供应商现在将有时间之间的补丁最初发布和它所解决的漏洞被公开。
尽管有了这些变化,Project Zero的团队表示,他们对目前为止的信息披露情况非常满意。2014年,当这个团队开始他们的工作时,他们说有时候bug在被发现六个月后还没有被修复。现在,在它确定的问题中(已经有很多),它说97.7%的补丁在90天的窗口内。
声明:本文由易百纳技术社区编写,文章内容来自The verge,版权归原作者所有,转载请注明出处,如有侵权请联系删除。
