Google Project Zero修改漏洞披露政策:90天强制披露

Google Project Zero修改漏洞披露政策:90天强制披露

黑客安全访客2021-10-11 13:37:009712A+A-

Google Project Zero 近日在官方博客宣布对漏洞披露政策做出重大调整,新政策将不再 “姑息” 那些漏洞修复迟钝的企业。从 2020 年 1 月 1 日起,除非与企业提前达成协议,否则在漏洞提交 90 天后,无论企业是否修复漏洞,都会进行披露。

Google Project Zero 的 90 天披露期已经存在了五年,虽然 99.7% 的漏洞都能够在 90 天之内修复,但是依然有很多漏洞在 90 天之后才得到修复。

谷歌安全团队意识到,必须在补丁开发和漏洞管理方面做出改进。过去,当漏洞在 90 天内被修补后,漏洞细节允许在90天内提前披露。但在新的政策中,无论漏洞是否修复,漏洞细节都必须在 90 天后披露。

谷歌表示此举是为了为业界提供一个更加公平、一致的漏洞发布机制,除了继续推动漏洞修补速度外,新政策还同样期望补丁的开发能够更彻底,更新覆盖更全面,同时也为厂商,包括谷歌自己在内,打造一个公平的披露机制。

谷歌 Project Zero 的 Tim Willis 表示,过去一个非常常见的问题是:厂商接到漏洞报告一味追求修补速度,“头痛医头,脚痛医脚。” 完全不考虑变种或者查找问题的根源。这导致攻击者很容易调整方式继续攻击。新政策 90 天后强制披露能够有效敦促厂商不仅仅关注漏洞修补速度,同时也要关注的用户补丁更新情况。

据悉,谷歌将给新政策 12 个月的试运营期,然后考虑是否转为长期政策。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 鸽吻葵袖2022-05-28 18:04:04
  • oject Zero 的 90 天披露期已经存在了五年,虽然 99.7% 的漏洞都能够在 90 天之内修复,但是依然有很多漏洞在 90 天之后才得到修复。谷歌安全团队意识到,必须在补丁开发和漏洞管理方面做出改进。过去,当漏洞在 90 天内被修补后,漏洞细节允许在90天内提前披
  • 七凉12022-05-28 12:42:40
  • ,漏洞细节都必须在 90 天后披露。谷歌表示此举是为了为业界提供一个更加公平、一致的漏洞发布机制,除了继续推动漏洞修补速度外,新政策还同样期望补丁的开发能够更彻底,更新覆盖更全面,同时也为厂商,包

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理