Google Project Zero修改漏洞披露政策:90天強制披露
責編:gltian |2020-01-10 14:51:23Google Project Zero 近日在官方博客宣布對漏洞披露政策做出重大調整,新政策將不再 “姑息” 那些漏洞修復遲鈍的企業。從 2020 年 1 月 1 日起,除非與企業提前達成協議,否則在漏洞提交 90 天后,無論企業是否修復漏洞,都會進行披露。
Google Project Zero 的 90 天披露期已經存在了五年,雖然 99.7% 的漏洞都能夠在 90 天之內修復,但是依然有很多漏洞在 90 天之后才得到修復。
谷歌安全團隊意識到,必須在補丁開發和漏洞管理方面做出改進。過去,當漏洞在 90 天內被修補后,漏洞細節允許在90天內提前披露。但在新的政策中,無論漏洞是否修復,漏洞細節都必須在 90 天后披露。
谷歌表示此舉是為了為業界提供一個更加公平、一致的漏洞發布機制,除了繼續推動漏洞修補速度外,新政策還同樣期望補丁的開發能夠更徹底,更新覆蓋更全面,同時也為廠商,包括谷歌自己在內,打造一個公平的披露機制。
谷歌 Project Zero 的 Tim Willis 表示,過去一個非常常見的問題是:廠商接到漏洞報告一味追求修補速度,“頭痛醫頭,腳痛醫腳。” 完全不考慮變種或者查找問題的根源。這導致攻擊者很容易調整方式繼續攻擊。新政策 90 天后強制披露能夠有效敦促廠商不僅僅關注漏洞修補速度,同時也要關注的用戶補丁更新情況。
據悉,谷歌將給新政策 12 個月的試運營期,然后考慮是否轉為長期政策。