谷歌零项目改变了揭露网络攻击的规则

导读 谷歌的Project Zero透露,它将尝试一项新政策,即安全团队将给予该公司整整90天的时间来披露其系统或软件中的问题。这家搜索巨头的安全

谷歌的Project Zero透露,它将尝试一项新政策,即安全团队将给予该公司整整90天的时间来披露其系统或软件中的问题。

这家搜索巨头的安全分析师团队因发现重大漏洞而受到称赞,但也因披露时间相对较快而受到业内其他人的批评。新的披露政策旨在解决这个问题,同时,它要求公司在如何解决安全问题上承担更多责任。

谷歌Zero的项目经理蒂姆威利斯(Tim Willis)在博客中解释说,尽管该团队可能正在修订其披露政策,但在过去五年中,它取得了令人印象深刻的成果。他说:

“我们对我们的披露政策在过去五年的运作情况非常满意。我们看到供应商修复严重漏洞的速度有了一些很大的提高,现在97.7%的漏洞报告都是在我们的90天披露政策范围内确定的。”

在审查了其主题披露政策后,Zero项目宣布将在2020年做出一些改变,包括所有公司将获得“一个完整的90天的默认时间,只要bug被修复”。但是,如果供应商和Zero项目之间有协议,bug报告可以在90天期限之前发布。

谷歌的安全团队现在将努力鼓励公司创建更彻底的补丁,并在90天内提高其采用率。过去Zero项目“更快补丁开发”的目标可能会导致供应商在不解决漏洞根本原因的情况下,通过“覆盖裂缝”来修复漏洞,其披露政策的修订旨在纠正这一点。

项目Zero还旨在提高补丁的及时采用,以便最终用户可以从修复的bug中真正受益。

谷歌计划尝试新政策12个月,然后再决定是否“长期改变”。

免责声明:本文由用户上传,如有侵权请联系删除!