谷歌 Project Zero 團隊以披露大量嚴重漏洞而被人們所熟知,但也因為嚴格的快速披露政策而遭到了行業內的批評。於是 2020 年的時候,谷歌安全團隊試圖制定新的政策,將問題披露的寬限期給足了整整 90 天。即便如此,谷歌還是對過去五年的政策表現感到滿意,指出有 97.9% 的漏洞報告在當前的 90 天披露政策下得到了有效的修復。
(題圖 via 9to5Google)
相比之下,2014 年有些 bug 拖了六個月、甚至更長的時間來解決。不過在審查了「複雜且經常引起爭議」的漏洞披露政策之後,谷歌還是決定在 2020 年做出一些改變。
那些易被曝光漏洞的企業,將被給予默認 90 天的緩衝時間,而無論其將於何時修復相關 bug 。若企業順利或提前完成了修復,也可以與谷歌 Project Zero 取得聯繫,以提前公布漏洞詳情。
● 廠家在 20 天內修復了 bug?谷歌將在第90天公布漏洞詳情;
● 廠家在 90 天內修復了 bug?谷歌也將在第 90 天公布漏洞詳情!
當然,在爭取推動「更快的補丁開發」流程的同時,Project Zero 還希望全面提升補丁程序的採用率。
(1)現有政策下,谷歌希望供應商能夠快速開發補丁,並制定適當的流程,以將之交付給最終客戶,我們將繼續緊迫地追求這一點。
(2)然而有太多次,供應商只是簡單的記錄了漏洞,而不考修改或從根本上修復已曝光的漏洞。有鑒於此,Project Zero 團隊希望推動更快的補丁開發,以防別有用心者輕易地向用戶發動大大小小的攻擊。
(3)改進後的新政策指出,發現漏洞之後,最終用戶的安全性不會就此得到改善,直到 bug 得到適當的修復。只有最終用戶意識到相關 bug,並在他們的設備上實施了修補,才能夠從漏洞修復中得到益處。
最後,在新政策轉入「長期實施」之前,Google 將給予 12 個月的試用。