行業(yè)動態(tài)

Google Project Zero修改漏洞披露政策:90天強制披露

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-01-10    瀏覽次數(shù):
 

信息來源:安全牛

Google Project Zero 近日在官方博客宣布對漏洞披露政策做出重大調(diào)整,新政策將不再 “姑息” 那些漏洞修復(fù)遲鈍的企業(yè)。從 2020 年 1 月 1 日起,除非與企業(yè)提前達成協(xié)議,否則在漏洞提交 90 天后,無論企業(yè)是否修復(fù)漏洞,都會進行披露。

Google Project Zero 的 90 天披露期已經(jīng)存在了五年,雖然 99.7% 的漏洞都能夠在 90 天之內(nèi)修復(fù),但是依然有很多漏洞在 90 天之后才得到修復(fù)。

谷歌安全團隊意識到,必須在補丁開發(fā)和漏洞管理方面做出改進。過去,當(dāng)漏洞在 90 天內(nèi)被修補后,漏洞細節(jié)允許在90天內(nèi)提前披露。但在新的政策中,無論漏洞是否修復(fù),漏洞細節(jié)都必須在 90 天后披露。

谷歌表示此舉是為了為業(yè)界提供一個更加公平、一致的漏洞發(fā)布機制,除了繼續(xù)推動漏洞修補速度外,新政策還同樣期望補丁的開發(fā)能夠更徹底,更新覆蓋更全面,同時也為廠商,包括谷歌自己在內(nèi),打造一個公平的披露機制。

谷歌 Project Zero 的 Tim Willis 表示,過去一個非常常見的問題是:廠商接到漏洞報告一味追求修補速度,“頭痛醫(yī)頭,腳痛醫(yī)腳?!?完全不考慮變種或者查找問題的根源。這導(dǎo)致攻擊者很容易調(diào)整方式繼續(xù)攻擊。新政策 90 天后強制披露能夠有效敦促廠商不僅僅關(guān)注漏洞修補速度,同時也要關(guān)注的用戶補丁更新情況。

據(jù)悉,谷歌將給新政策 12 個月的試運營期,然后考慮是否轉(zhuǎn)為長期政策。

 
 

上一篇:2020年01月09日 聚銘安全速遞

下一篇:MITRE發(fā)布首個針對工業(yè)控制系統(tǒng)(ICS)的ATT&CK知識庫