欢迎来到优亿在线
国内最专业的科技资讯提供商

谷歌默认为90天漏洞披露

谷歌已经调整了它的项目零披露政策,以推动更彻底的补丁开发和改进的采用。

2020年的新方向围绕着一个重大变化:从今年1月1日起,该公司将实施一项完整的90天的信息披露政策,无论供应商何时修复了漏洞。在过去,相关研究人员可以决定是在90天的期限结束时披露,还是在bug得到修复时披露。

Project Zero的经理Tim Willis说,虽然之前的政策是为了加快受影响厂商的补丁开发,但谷歌现在也想把重点放在其他目标上。

他说,随着“零核项目”确定的97.7%的问题在最后期限内得到解决,人们开始思考如何改进简单、公平和一致性的基本原则。

考虑到这一点,谷歌不仅想继续追求更快的补丁开发,而且现在也想提高补丁的彻底性。

“太多时候,我们看到供应商通过‘掩盖漏洞’来修补报告中的漏洞。不考虑变量或不解决漏洞的根本原因;威利斯解释道。“这里的一个问题是,我们的政策目标是‘加快补丁开发’。可能会加剧这个问题,使得攻击者很容易恢复他们的攻击行为,并继续攻击用户。”

提供完整的90天窗口意味着供应商将有更多的时间来执行根本原因和变量分析。

“我们希望看到供应商提供迭代式的、更彻底的补丁,消除攻击者目前必须对他们的攻击进行微小更改并恢复他们的零日攻击的机会,”威利斯说。

谷歌在2020年的第二个目标是提高对“零项目”研究中产生的任何补丁的采纳。

“最终用户的安全性在发现bug时不会提高,在修复bug时也不会提高。一旦终端用户意识到这个缺陷,通常会给他们的设备打上补丁,它就会得到改善。认为威利斯。

“为了达到这个目的,及时改进补丁的采用是很重要的,以确保用户确实从修复的bug中获益。”

同样,90天的期限应该为供应商提供更多的机会和激励,鼓励更多的用户安装他们的修复程序。

谷歌还押注,通过一个90天的强制窗口,将公平竞争的环境变得更加公平,这将鼓励供应商在更大的问题上与研究人员进行更密切的合作。

“我们希望这个实验将鼓励供应商对我们透明,分享更多数据,建立信任,改善合作,”威利斯总结道。

历史上的今天
一月
10
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:优亿在线 » 谷歌默认为90天漏洞披露
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

优亿在线科技网 更权威 更方便

优亿在线联系我们