谷歌的Project Zero現在正在考慮如何公開安全漏洞

2022-09-19 08:24:01 編輯：赫連嬋璧來源：

導讀谷歌的Zero項目網絡安全團隊正在試行一項新政策，即在一項修復措施發布后，它不會盡早公開安全漏洞。“默認情況下滿90天，不管什么時候修復...

谷歌的Zero項目網絡安全團隊正在試行一項新政策，即在一項修復措施發布后，它不會盡早公開安全漏洞。“默認情況下滿90天，不管什么時候修復bug”是團隊的新政策，在決定是否永久采用之前，它將試用一年。

在舊系統下，Zero項目的研究人員將給供應商90天的時間來解決一個問題，然后再將問題公之于眾。然而，如果在該90天窗口內發布補丁，它將及早披露漏洞。這可能是一個問題，因為這意味著用戶必須在黑客利用漏洞之前匆忙修補漏洞。一個漏洞可能會被公司修復，但如果補丁沒有被廣泛采用，那就無所謂了。

因此，現在，無論一個補丁是發出20天還是90天后，零項目使供應商意識到問題，它仍將等待90天，以使問題公開。不過，也有一些例外。一個是當兩家公司之間有“相互協議”提前披露時，Zero項目也可能將截止日期延長14天，如果供應商需要更長的時間來拼湊一個補丁。在野外被利用的脆弱性的七天期限將保持不變。

除了給補丁更多的時間被采納，Zero項目說，它希望新的政策將提高一致性，讓供應商更好地了解何時將漏洞公之于眾。它還說，它渴望看到更多的迭代和徹底的補丁發布，這要歸功于供應商現在在最初發布補丁和它解決的漏洞被公開之間的時間。

盡管發生了這些變化，但Zero項目團隊表示，他們對其披露期到目前為止的運作方式感到大致滿意。在2014年，當團隊開始工作時，它說蟲子有時在被發現六個月后沒有被修復。現在，在它所發現的問題中（其中有很多），它說97.7%是在它的90天窗口內修補的。

標簽：

免責聲明：本文由用戶上傳，如有侵權請聯系刪除！

本站除標明“本站原創”外所有信息均轉載自互聯網版權歸原作者所有。

欧美日韩激情电影,久久亚洲精品毛片,日日夜夜天天综合入口,亚洲激情六月丁香