Google Project Zero修改漏洞披露政策:90天强制披露
星期五, 一月 10, 2020
Google Project Zero 近日在官方博客宣布对漏洞披露政策做出重大调整,新政策将不再 “姑息” 那些漏洞修复迟钝的企业。从 2020 年 1 月 1 日起,除非与企业提前达成协议,否则在漏洞提交 90 天后,无论企业是否修复漏洞,都会进行披露。
Google Project Zero 的 90 天披露期已经存在了五年,虽然 99.7% 的漏洞都能够在 90 天之内修复,但是依然有很多漏洞在 90 天之后才得到修复。
谷歌安全团队意识到,必须在补丁开发和漏洞管理方面做出改进。过去,当漏洞在 90 天内被修补后,漏洞细节允许在90天内提前披露。但在新的政策中,无论漏洞是否修复,漏洞细节都必须在 90 天后披露。
谷歌表示此举是为了为业界提供一个更加公平、一致的漏洞发布机制,除了继续推动漏洞修补速度外,新政策还同样期望补丁的开发能够更彻底,更新覆盖更全面,同时也为厂商,包括谷歌自己在内,打造一个公平的披露机制。
谷歌 Project Zero 的 Tim Willis 表示,过去一个非常常见的问题是:厂商接到漏洞报告一味追求修补速度,“头痛医头,脚痛医脚。” 完全不考虑变种或者查找问题的根源。这导致攻击者很容易调整方式继续攻击。新政策 90 天后强制披露能够有效敦促厂商不仅仅关注漏洞修补速度,同时也要关注的用户补丁更新情况。
据悉,谷歌将给新政策 12 个月的试运营期,然后考虑是否转为长期政策。
相关阅读