谷歌Project Zero團(tuán)隊(duì)宣布新政策

谷歌 Project Zero 團(tuán)隊(duì)以披露大量嚴(yán)重漏洞而被人們所熟知，但也因?yàn)閲?yán)格的快速披露政策而遭到了行業(yè)內(nèi)的批評(píng)。于是 2020 年的時(shí)候，谷歌安全團(tuán)隊(duì)試圖制定新的政策，將問(wèn)題披露的寬限期給足了整整 90 天。即便如此，谷歌還是對(duì)過(guò)去五年的政策表現(xiàn)感到滿意，指出有 97.9% 的漏洞報(bào)告在當(dāng)前的 90 天披露政策下得到了有效的修復(fù)。

(題圖 via9to5Google)

相比之下，2014 年有些 bug 拖了六個(gè)月、甚至更長(zhǎng)的時(shí)間來(lái)解決。不過(guò)在審查了“復(fù)雜且經(jīng)常引起爭(zhēng)議”的漏洞披露政策之后，谷歌還是決定在 2020 年做出一些改變。

那些易被曝光漏洞的企業(yè)，將被給予默認(rèn) 90 天的緩沖時(shí)間，而無(wú)論其將于何時(shí)修復(fù)相關(guān) bug 。若企業(yè)順利或提前完成了修復(fù)，也可以與谷歌 Project Zero 取得聯(lián)系，以提前公布漏洞詳情。

● 廠家在 20 天內(nèi)修復(fù)了 bug?谷歌將在第90天公布漏洞詳情;

● 廠家在 90 天內(nèi)修復(fù)了 bug?谷歌也將在第 90 天公布漏洞詳情!

當(dāng)然，在爭(zhēng)取推動(dòng)“更快的補(bǔ)丁開(kāi)發(fā)”流程的同時(shí)，Project Zero 還希望全面提升補(bǔ)丁程序的采用率。

(1)現(xiàn)有政策下，谷歌希望供應(yīng)商能夠快速開(kāi)發(fā)補(bǔ)丁，并制定適當(dāng)?shù)牧鞒?，以將之交付給最終客戶，我們將繼續(xù)緊迫地追求這一點(diǎn)。

(2)然而有太多次，供應(yīng)商只是簡(jiǎn)單的記錄了漏洞，而不考修改或從根本上修復(fù)已曝光的漏洞。有鑒于此，Project Zero 團(tuán)隊(duì)希望推動(dòng)更快的補(bǔ)丁開(kāi)發(fā)，以防別有用心者輕易地向用戶發(fā)動(dòng)大大小小的攻擊。

(3)改進(jìn)后的新政策指出，發(fā)現(xiàn)漏洞之后，最終用戶的安全性不會(huì)就此得到改善，直到 bug 得到適當(dāng)?shù)男迯?fù)。只有最終用戶意識(shí)到相關(guān) bug，并在他們的設(shè)備上實(shí)施了修補(bǔ)，才能夠從漏洞修復(fù)中得到益處。

最后，在新政策轉(zhuǎn)入“長(zhǎng)期實(shí)施”之前，Google 將給予 12 個(gè)月的試用。

關(guān)鍵詞：