Facebook為第三方應用程序開發(fā)人員提供了三周的時間來響應漏洞報告�����,并為三個月內的漏洞修復(在公開披露之前)��。
這家社交媒體巨頭本周完成了《漏洞披露政策》�,旨在研究人員可能在第三方代碼和系統(tǒng)(包括開源應用程序)中發(fā)現(xiàn)的錯誤�。
Facebook表示,該政策的目的是確保盡快解決已發(fā)現(xiàn)的問題�,并確保受影響的人了解此事,以便他們修補系統(tǒng)以保持保護����。
該社交平臺還指出����,具有高影響力的安全漏洞將在公開披露之前得到更多的關注�,并且其研究人員將與應用程序開發(fā)人員緊密合作,以在需要時協(xié)助解決問題���。
“我們希望第三方在21天之內做出回應��,讓我們知道如何緩解該問題以保護受影響的人們���。如果我們在舉報后21天內沒有收到回音,F(xiàn)acebook保留披露此漏洞的權利����。報告后,如果在90天內沒有顯示問題在一個合理的方式得到解決的修復或更新���,F(xiàn)acebook將披露的漏洞��,”該公司說���。
Facebook還透露,如果它確定在確定的時間表之前披露漏洞將使公眾受益���,它可能會這樣做����。
作為負責任的披露程序的一部分,F(xiàn)acebook將做出合理的努力與受影響的第三方聯(lián)系�,并將為他們提供理解所報告問題所需的信息。如果需要��,將提供其他信息����。
“如果我們在收到確認漏洞報告的聯(lián)系人后的21天內未收到答復,我們將假定將不采取任何措施�����。然后�����,我們保留披露此問題的權利������! Facebook說。報告的發(fā)送被認為是時間表的開始��。
該公司表示愿意與第三方合作進行修復�,但希望緩解措施的透明度。第三方有望在90天內解決報告的漏洞��,如果未發(fā)現(xiàn)緩解情況�����,F(xiàn)acebook將盡快公開披露此問題����。
Facebook的漏洞披露政策還詳細說明了披露途徑,以及公司偏離90天補丁要求的潛在情況��,例如積極利用已發(fā)現(xiàn)的安全漏洞或不必要地延遲部署修補程序��。
“我們將努力在執(zhí)行此政策時保持盡可能一致����。該政策的任何內容均無意取代Facebook與第三方之間可能達成的其他協(xié)議,例如我們的Facebook Platform政策或合同義務����,”該社交平臺說��。
Facebook 本周還推出了WhatsApp安全顧問���,該資源旨在通過提供有關消息傳遞服務和應用程序中已解決的所有漏洞的信息來提高透明度。
“由于應用商店的政策和做法����,我們不能總是在應用發(fā)行說明中列出安全建議。該咨詢頁面提供了WhatsApp安全更新以及相關的常見漏洞和披露(CVE)的完整列表���。請注意�,CVE描述中包含的詳細信息旨在幫助研究人員了解技術方案���,并不意味著用戶受到這種方式的影響��������!
此外,F(xiàn)acebook表示��,一旦發(fā)現(xiàn)影響其代碼的安全問題���,它將通知第三方庫的開發(fā)人員和移動操作系統(tǒng)提供商����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
