域名频道资讯站
我们一直在努力制造惊吓

谷歌Project Zero团队宣布新政策 漏洞披露前将有完整的90天缓冲期

谷歌Project Zero团队宣布新政策 漏洞披露前将有完整的90天缓冲期

(题图 via 9to5Google)

相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。

那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。

● 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情;

● 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情!

当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。

(1)现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。

(2)然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。

(3)改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。

最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。

本文素材来自互联网

赞(0)
分享到: 更多 (0)

中国专业的网站域名及网站空间提供商

买域名买空间