谷歌“零号项目”调整漏洞披露时间:提供额外一个月时间

软餐(ruancan.com)获悉,谷歌的“零号项目”(Project Zero)团队宣布了其披露安全漏洞方式的一项重大变更。

自启动以来,“零号项目”(Project Zero)严格遵守90天的披露期限。即在发现漏洞后,“零号项目”团队将等待90天才公开记录技术细节,这将使软件提供商可在攻击者利用漏洞之前修复漏洞。

现在,“零号项目”(Project Zero)正在测试2021年的新模型,该模型将为软件开发商提供额外一个月的时间。

在此前,关于漏洞的技术文档会在90天的最后期限过后立即披露,无论软件开发商是否发布了修复补丁。而在新模型中,如果软件开发商在90天内解决了修复了问题,则技术文档将在修复后30天内披露。

谷歌“零号项目”调整漏洞披露时间:提供额外一个月时间

谷歌表示,新的90+30天政策旨在使补丁的采用成为披露计划的明确组成部分。这意味着软件开发商将有90天的时间开发修复补丁,并有30天的时间向用户发布补丁。

正被积极利用的野外漏洞仍拥有为期7天的披露期限,无论问题是否得到解决,谷歌都会在第7天时发布披露信息。但现在,如果漏洞在7天内获得修复,谷歌将在修复后30天内发布技术详细信息。而且,开发者还可以为这种漏洞请求3天的宽限期,这是此前没有的。

谷歌“零号项目”(Project Zero)团队表示,上述新政策与先前的立场略有不同,后者优先考虑迅速向公众发布技术细节。但同时该团队指出,这项宽松的政策不会坚持太久,因为他们希望在不久的将来缩短披露期限。该团队暗示,他们可能会在2022年改用84+28天模型。

谷歌“零号项目”调整漏洞披露时间:提供额外一个月时间
(0)
softF4的头像softF4

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注