Google 谷歌Project Zero團(tuán)隊(duì)調(diào)整漏洞披露指南:增加30天緩沖期
【Google|谷歌Project Zero團(tuán)隊(duì)調(diào)整漏洞披露指南:增加30天緩沖期】谷歌 Project Zero 安全團(tuán)隊(duì)今天對(duì)漏洞披露指南進(jìn)行了調(diào)整,為每次安全漏洞披露增加了 30 天的緩沖期,這樣終端用戶就有足夠的時(shí)間來(lái)修補(bǔ)軟件,防止這些漏洞被攻擊者利用 。
文章圖片 
文章圖片
今天的這項(xiàng)調(diào)整對(duì)于安全領(lǐng)域來(lái)說(shuō)非常重要,因?yàn)槟壳熬W(wǎng)絡(luò)安全社區(qū)的很多人都已采用 Project Zero 的規(guī)則作為向軟件供應(yīng)商、向公眾披露安全漏洞的非官方方法 。在今天之前,谷歌 Project Zero 的研究人員會(huì)給軟件廠商 90 天的時(shí)間來(lái)修復(fù)一個(gè)安全漏洞 。當(dāng) bug 被修復(fù)后,或者在 90 天時(shí)間窗口結(jié)束時(shí),谷歌研究人員會(huì)在網(wǎng)上(在他們的 bug 跟蹤器上)公布有關(guān) bug 的細(xì)節(jié) 。
額外增加的 30 天時(shí)間能夠讓讓受影響產(chǎn)品的用戶有時(shí)間更新他們的軟件,在一些復(fù)雜的企業(yè)網(wǎng)絡(luò)中,這種操作通常需要幾天或幾周的時(shí)間 。Project Zero 團(tuán)隊(duì)負(fù)責(zé)人 Tom Willis 表示,過去曾有公司抱怨用戶應(yīng)用補(bǔ)丁時(shí)缺乏足夠的緩沖時(shí)間 。
過去Project Zero研究人員發(fā)布的漏洞細(xì)節(jié)通常會(huì)包括對(duì)漏洞工作原理的深入技術(shù)解釋,通常還會(huì)包括概念驗(yàn)證代碼 。盡管演示的漏洞代碼被刪減了,但它往往也為構(gòu)建更高級(jí)的漏洞提供了基本的線框 。
此外,Willis 表示,30 天的額外時(shí)間緩沖也將適用于零日漏洞,而不僅僅只是普通的 bug 。此前,Project Zero 會(huì)給公司 7 個(gè)日歷日的時(shí)間來(lái)修補(bǔ)任何主動(dòng)利用的漏洞(零日),然后才會(huì)在網(wǎng)上公布該漏洞的詳細(xì)信息 。
Willis 表示從 2021 年開始,Project Zero 的研究人員將對(duì)零日應(yīng)用同樣的 30 天緩沖期,甚至愿意在原來(lái)的7天披露期限上再增加3天,以便在一些罕見的情況下,給公司更多的時(shí)間來(lái)創(chuàng)建補(bǔ)丁 。
推薦閱讀
- 金星 谷歌與哈佛發(fā)布首個(gè)大規(guī)模人腦“地圖”,包含1.3億個(gè)突觸
- Google Google人工智能倫理部門動(dòng)蕩不安 已引起外部監(jiān)管機(jī)構(gòu)關(guān)注
- Huawei 華為正式發(fā)布HarmonyOS操作系統(tǒng) 央視:打破了蘋果、谷歌的壟斷
- Google Google擬加強(qiáng)Android用戶隱私保護(hù)并與蘋果抗衡
- Google 蘋果聯(lián)合創(chuàng)始人沃茲尼亞克在起訴YouTube的官司中敗訴
- Google 前SiriusXM首席產(chǎn)品與技術(shù)官將帶領(lǐng)谷歌地理產(chǎn)品團(tuán)隊(duì)
- Google 神秘賣家在eBay上銷售Google Pixel Muskie原型機(jī)
- Google YouTube稱其在過去12個(gè)月中向音樂行業(yè)支付了40億美元的費(fèi)用
- Google 比特幣、以太幣大熱 Google解除三年前禁令:允許交易所、錢包做廣告
- Google Android手機(jī)即將可以投屏應(yīng)用到Chromebook了