您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

谷歌的Project Zero現(xiàn)在正在考慮如何公開(kāi)安全漏洞

2022-09-19 08:24:01 編輯:赫連嬋璧 來(lái)源:
導(dǎo)讀 谷歌的Zero項(xiàng)目網(wǎng)絡(luò)安全團(tuán)隊(duì)正在試行一項(xiàng)新政策,即在一項(xiàng)修復(fù)措施發(fā)布后,它不會(huì)盡早公開(kāi)安全漏洞。“默認(rèn)情況下滿90天,不管什么時(shí)候修復(fù)...

谷歌的Zero項(xiàng)目網(wǎng)絡(luò)安全團(tuán)隊(duì)正在試行一項(xiàng)新政策,即在一項(xiàng)修復(fù)措施發(fā)布后,它不會(huì)盡早公開(kāi)安全漏洞?!澳J(rèn)情況下滿90天,不管什么時(shí)候修復(fù)bug”是團(tuán)隊(duì)的新政策,在決定是否永久采用之前,它將試用一年。

在舊系統(tǒng)下,Zero項(xiàng)目的研究人員將給供應(yīng)商90天的時(shí)間來(lái)解決一個(gè)問(wèn)題,然后再將問(wèn)題公之于眾。然而,如果在該90天窗口內(nèi)發(fā)布補(bǔ)丁,它將及早披露漏洞。這可能是一個(gè)問(wèn)題,因?yàn)檫@意味著用戶必須在黑客利用漏洞之前匆忙修補(bǔ)漏洞。一個(gè)漏洞可能會(huì)被公司修復(fù),但如果補(bǔ)丁沒(méi)有被廣泛采用,那就無(wú)所謂了。

因此,現(xiàn)在,無(wú)論一個(gè)補(bǔ)丁是發(fā)出20天還是90天后,零項(xiàng)目使供應(yīng)商意識(shí)到問(wèn)題,它仍將等待90天,以使問(wèn)題公開(kāi)。不過(guò),也有一些例外。一個(gè)是當(dāng)兩家公司之間有“相互協(xié)議”提前披露時(shí),Zero項(xiàng)目也可能將截止日期延長(zhǎng)14天,如果供應(yīng)商需要更長(zhǎng)的時(shí)間來(lái)拼湊一個(gè)補(bǔ)丁。在野外被利用的脆弱性的七天期限將保持不變。

除了給補(bǔ)丁更多的時(shí)間被采納,Zero項(xiàng)目說(shuō),它希望新的政策將提高一致性,讓供應(yīng)商更好地了解何時(shí)將漏洞公之于眾。它還說(shuō),它渴望看到更多的迭代和徹底的補(bǔ)丁發(fā)布,這要?dú)w功于供應(yīng)商現(xiàn)在在最初發(fā)布補(bǔ)丁和它解決的漏洞被公開(kāi)之間的時(shí)間。

盡管發(fā)生了這些變化,但Zero項(xiàng)目團(tuán)隊(duì)表示,他們對(duì)其披露期到目前為止的運(yùn)作方式感到大致滿意。在2014年,當(dāng)團(tuán)隊(duì)開(kāi)始工作時(shí),它說(shuō)蟲(chóng)子有時(shí)在被發(fā)現(xiàn)六個(gè)月后沒(méi)有被修復(fù)。現(xiàn)在,在它所發(fā)現(xiàn)的問(wèn)題中(其中有很多),它說(shuō)97.7%是在它的90天窗口內(nèi)修補(bǔ)的。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。