谷歌的Project Zero現(xiàn)在正在考慮如何公開(kāi)安全漏洞

谷歌的Zero項(xiàng)目網(wǎng)絡(luò)安全團(tuán)隊(duì)正在試行一項(xiàng)新政策，即在一項(xiàng)修復(fù)措施發(fā)布后，它不會(huì)盡早公開(kāi)安全漏洞?！澳J(rèn)情況下滿90天，不管什么時(shí)候修復(fù)bug”是團(tuán)隊(duì)的新政策，在決定是否永久采用之前，它將試用一年。

在舊系統(tǒng)下，Zero項(xiàng)目的研究人員將給供應(yīng)商90天的時(shí)間來(lái)解決一個(gè)問(wèn)題，然后再將問(wèn)題公之于眾。然而，如果在該90天窗口內(nèi)發(fā)布補(bǔ)丁，它將及早披露漏洞。這可能是一個(gè)問(wèn)題，因?yàn)檫@意味著用戶必須在黑客利用漏洞之前匆忙修補(bǔ)漏洞。一個(gè)漏洞可能會(huì)被公司修復(fù)，但如果補(bǔ)丁沒(méi)有被廣泛采用，那就無(wú)所謂了。

因此，現(xiàn)在，無(wú)論一個(gè)補(bǔ)丁是發(fā)出20天還是90天后，零項(xiàng)目使供應(yīng)商意識(shí)到問(wèn)題，它仍將等待90天，以使問(wèn)題公開(kāi)。不過(guò)，也有一些例外。一個(gè)是當(dāng)兩家公司之間有“相互協(xié)議”提前披露時(shí)，Zero項(xiàng)目也可能將截止日期延長(zhǎng)14天，如果供應(yīng)商需要更長(zhǎng)的時(shí)間來(lái)拼湊一個(gè)補(bǔ)丁。在野外被利用的脆弱性的七天期限將保持不變。

除了給補(bǔ)丁更多的時(shí)間被采納，Zero項(xiàng)目說(shuō)，它希望新的政策將提高一致性，讓供應(yīng)商更好地了解何時(shí)將漏洞公之于眾。它還說(shuō)，它渴望看到更多的迭代和徹底的補(bǔ)丁發(fā)布，這要?dú)w功于供應(yīng)商現(xiàn)在在最初發(fā)布補(bǔ)丁和它解決的漏洞被公開(kāi)之間的時(shí)間。

盡管發(fā)生了這些變化，但Zero項(xiàng)目團(tuán)隊(duì)表示，他們對(duì)其披露期到目前為止的運(yùn)作方式感到大致滿意。在2014年，當(dāng)團(tuán)隊(duì)開(kāi)始工作時(shí)，它說(shuō)蟲子有時(shí)在被發(fā)現(xiàn)六個(gè)月后沒(méi)有被修復(fù)?，F(xiàn)在，在它所發(fā)現(xiàn)的問(wèn)題中（其中有很多），它說(shuō)97.7%是在它的90天窗口內(nèi)修補(bǔ)的。