谷歌的零號項目安全部門說���,被發(fā)現(xiàn)存在安全缺陷的公司將很快有更多的時間來解決問題。
該組織宣布將采用一種新的模式來管理它如何報告新的漏洞和安全漏洞�,從而使受害者有更多時間發(fā)布修復程序。
展望未來,零號項目將保持通常的90天披露期來解決尚未修復的漏洞���,但是�����,如果在此時間內(nèi)出現(xiàn)補丁����,則團隊現(xiàn)在將在補丁發(fā)布后等待30天���,以發(fā)布其調(diào)查的技術(shù)細節(jié)。
零項目窗口
以前�����,零號項目將始終發(fā)布90天后發(fā)現(xiàn)的任何缺陷的詳細信息���,無論是否已發(fā)布補丁���。但是,團隊現(xiàn)在希望更改此設(shè)置�����,以使供應商有更多的時間來確保補丁正確發(fā)布。
零項目經(jīng)理蒂姆·威利斯(Tim Willis)表示:“從今天開始��,我們將更改披露政策�����,將重點重新放在減少漏洞修復所需的時間上�,改善當前的行業(yè)披露時間基準,以及更改發(fā)布技術(shù)細節(jié)的時間����。”在博客文章中宣布了這些更改��。
Willis指出��,最初的想法是���,如果供應商希望用戶有更多時間來安裝補丁����,則他們會優(yōu)先考慮在90天的周期內(nèi)而不是以后交付修補程序���。
但是在實踐中��,零號項目在補丁程序開發(fā)時間表上通常不會發(fā)生重大變化����,Willis表示,該小組繼續(xù)收到供應商的反饋�,他們擔心在大多數(shù)用戶安裝補丁程序之前會公開發(fā)布有關(guān)漏洞和漏洞的技術(shù)細節(jié)。
他說:“換句話說����,補丁采用的隱含時間表尚不清楚�����!
對于已經(jīng)普遍存在的漏洞���,Google仍將在通知受影響的一方之后一周發(fā)布一次披露,并且如果該漏洞未得到修復��,還包括技術(shù)細節(jié)����。
但是,如果在7天的通知窗口中發(fā)布了補丁,則技術(shù)詳細信息將在30天后出現(xiàn)���,F(xiàn)在���,供應商將能夠要求3天的寬限期,Willis表示���,盡管這個新的“ 90 + 30”系統(tǒng)很快就會被取消����,但它需要從供應商可以滿足的截止日期開始�����。
他說:“根據(jù)我們當前的數(shù)據(jù)跟蹤漏洞補丁程序時間��,很可能我們可以在2022年采用'84 +28'模式(將最后期限平均除以7會大大減少我們的最后期限落在周末的機會)�����,”他說����。
“升級到“ 90 + 30”模型可以使我們將補丁的時間與補丁的采用時間脫鉤�����,減少圍繞攻擊者/防御者的權(quán)衡取舍和技術(shù)細節(jié)共享的爭論��,同時倡導減少結(jié)束時間用戶容易受到已知攻擊���。”
“披露政策是一個復雜的話題���,需要做出很多取舍�����,這并不是一個容易做出的決定�。我們樂觀地認為��,我們的2021年政策和披露試驗為未來奠定了良好的基礎(chǔ)���,并且可以平衡可以帶來積極改善用戶安全性的激勵措施�!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
