谷歌Project Zero團(tuán)隊宣布新政策

谷歌 Project Zero 團(tuán)隊以披露大量嚴(yán)重漏洞而被人們所熟知，但也因為嚴(yán)格的快速披露政策而遭到了行業(yè)內(nèi)的批評。于是 2020 年的時候，谷歌安全團(tuán)隊試圖制定新的政策，將問題披露的寬限期給足了整整 90 天。即便如此，谷歌還是對過去五年的政策表現(xiàn)感到滿意，指出有 97.9% 的漏洞報告在當(dāng)前的 90 天披露政策下得到了有效的修復(fù)。

(題圖 via9to5Google)

相比之下，2014 年有些 bug 拖了六個月、甚至更長的時間來解決。不過在審查了“復(fù)雜且經(jīng)常引起爭議”的漏洞披露政策之后，谷歌還是決定在 2020 年做出一些改變。

那些易被曝光漏洞的企業(yè)，將被給予默認(rèn) 90 天的緩沖時間，而無論其將于何時修復(fù)相關(guān) bug 。若企業(yè)順利或提前完成了修復(fù)，也可以與谷歌 Project Zero 取得聯(lián)系，以提前公布漏洞詳情。

● 廠家在 20 天內(nèi)修復(fù)了 bug?谷歌將在第90天公布漏洞詳情;

● 廠家在 90 天內(nèi)修復(fù)了 bug?谷歌也將在第 90 天公布漏洞詳情!

當(dāng)然，在爭取推動“更快的補丁開發(fā)”流程的同時，Project Zero 還希望全面提升補丁程序的采用率。

(1)現(xiàn)有政策下，谷歌希望供應(yīng)商能夠快速開發(fā)補丁，并制定適當(dāng)?shù)牧鞒?，以將之交付給最終客戶，我們將繼續(xù)緊迫地追求這一點。

(2)然而有太多次，供應(yīng)商只是簡單的記錄了漏洞，而不考修改或從根本上修復(fù)已曝光的漏洞。有鑒于此，Project Zero 團(tuán)隊希望推動更快的補丁開發(fā)，以防別有用心者輕易地向用戶發(fā)動大大小小的攻擊。

(3)改進(jìn)后的新政策指出，發(fā)現(xiàn)漏洞之后，最終用戶的安全性不會就此得到改善，直到 bug 得到適當(dāng)?shù)男迯?fù)。只有最終用戶意識到相關(guān) bug，并在他們的設(shè)備上實施了修補，才能夠從漏洞修復(fù)中得到益處。

最后，在新政策轉(zhuǎn)入“長期實施”之前，Google 將給予 12 個月的試用。

關(guān)鍵詞：