close
今天的這項調整對於安全領域來說非常重要,因為目前網絡安全社區的很多人都已采用 Project Zero 的規則作為向軟件供應商、向公眾披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人員會給軟件廠商 90 天的時間來修復一個安全漏洞。當 bug 被修復後,或者在 90 天時間窗口結束時,谷歌研究人員會在網上(在他們的 bug 跟蹤器上)公佈有關 bug 的細節。
額外增加的 30 天時間能夠讓讓受影響產品的用戶有時間更新他們的軟件,在一些復雜的企業網絡中,這種操作通常需要幾天或幾周的時間。Project Zero 團隊負責人 Tom Willis 表示,過去曾有公司抱怨用戶應用補丁時缺乏足夠的緩沖時間。
過去Project Zero研究人員發佈的漏洞細節通常會包括對漏洞工作原理的深入技術解釋,通常還會包括概念驗證代碼。盡管演示的漏洞代碼被刪減瞭,但它往往也為構建更高級的漏洞提供瞭基本的線框。
此外,Willis 表示,30 天的額外時間緩沖也將適用於零日漏洞,而不僅僅隻是普通的 bug。此前,Project Zero 會給公司 7 個日歷日的時間來修補任何主動利用的漏洞(零日),然後才會在網上公佈該漏洞的詳細信息。
Willis 表示從 2021 年開始,Project Zero 的研究人員將對零日應用同樣的 30 天緩沖期,甚至願意在原來的7天披露期限上再增加3天,以便在一些罕見的情況下,給公司更多的時間來創建補丁。
全站熱搜
留言列表
