您的位置: 首頁 >互聯網 >

谷歌的Project Zero現在正在考慮如何公開安全漏洞

2022-09-19 08:24:01 編輯:赫連嬋璧 來源:
導讀 谷歌的Zero項目網絡安全團隊正在試行一項新政策,即在一項修復措施發(fā)布后,它不會盡早公開安全漏洞。“默認情況下滿90天,不管什么時候修復...

谷歌的Zero項目網絡安全團隊正在試行一項新政策,即在一項修復措施發(fā)布后,它不會盡早公開安全漏洞?!澳J情況下滿90天,不管什么時候修復bug”是團隊的新政策,在決定是否永久采用之前,它將試用一年。

在舊系統下,Zero項目的研究人員將給供應商90天的時間來解決一個問題,然后再將問題公之于眾。然而,如果在該90天窗口內發(fā)布補丁,它將及早披露漏洞。這可能是一個問題,因為這意味著用戶必須在黑客利用漏洞之前匆忙修補漏洞。一個漏洞可能會被公司修復,但如果補丁沒有被廣泛采用,那就無所謂了。

因此,現在,無論一個補丁是發(fā)出20天還是90天后,零項目使供應商意識到問題,它仍將等待90天,以使問題公開。不過,也有一些例外。一個是當兩家公司之間有“相互協議”提前披露時,Zero項目也可能將截止日期延長14天,如果供應商需要更長的時間來拼湊一個補丁。在野外被利用的脆弱性的七天期限將保持不變。

除了給補丁更多的時間被采納,Zero項目說,它希望新的政策將提高一致性,讓供應商更好地了解何時將漏洞公之于眾。它還說,它渴望看到更多的迭代和徹底的補丁發(fā)布,這要歸功于供應商現在在最初發(fā)布補丁和它解決的漏洞被公開之間的時間。

盡管發(fā)生了這些變化,但Zero項目團隊表示,他們對其披露期到目前為止的運作方式感到大致滿意。在2014年,當團隊開始工作時,它說蟲子有時在被發(fā)現六個月后沒有被修復?,F在,在它所發(fā)現的問題中(其中有很多),它說97.7%是在它的90天窗口內修補的。


免責聲明:本文由用戶上傳,如有侵權請聯系刪除!

最新文章

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。