谷歌Project Zero网络安全团队试行一项新政策,该政策表明即使在漏洞修复之后也不会过早地披露漏洞细节。该缓冲期默认为90天,这意味着无论何时修复漏洞,都要求期满后才能披露漏洞细节。该政策试用期为一年,随后再决定是否永久采用。
在原来的政策中,Project Zero的研究人员会给厂商90天的时间来修复漏洞,然后再将漏洞公开。但是,如果在90天之内发布了补丁程序,那么披露时间则会提前。这可能是一个问题,因为这意味着在黑客利用漏洞之前,用户必须尽快修复漏洞。如果漏洞只由公司修复,不涉及个人用户,则无关紧要。
2019 | 2020试行 |
---|---|
1.90天或者漏洞修复的时间(研究人员可自行斟酌),可尽早发布 | 1.90天整,无论漏洞何时修复,提早公布需要双方同意 |
2.政策目标: 更快地发布补丁 | 2.政策目标: 更快地发布补丁;发布更彻底的补丁;改善补丁用户采用情况 |
3. 对不完全修复程序的不一致处理。 研究人员可以将此类问题作为单独的漏洞归档或添加到现有报告中。 | 3.不完全修复的详细信息将报告给厂商,并添加到现有报告(可能已经公开)中,并且不会有新的截止日期。 |
4.在宽限期内*修复的漏洞将在发布补丁后的某个时间公开。 | 4.在宽限期内*修补后,Project Zero漏洞跟踪报告会立即公布。 |
5.不管修复与否,截止日期(90天)到期后,Project Zero可自行公布漏洞跟踪报告。 | 5. Project Zero漏洞跟踪报告将在第90天(根据双方的协议或更早)公布。 |
注:宽限期即额外提供给厂商的14天。
因此,现在,无论厂商是20天还是90天修复漏洞,Project Zero都需要在90天后公布漏洞。但是,也有几个例外情况。一种是两家公司之间达成“合作协议”以尽早披露信息。例如,厂商希望同步漏洞跟踪报告和声明,以最大程度地减少用户的困惑和疑问。而另一种则是厂商需要更长的时间来提供补丁,那么截止时间可延长14天。在野外利用漏洞的七天期限将保持不变。
Project Zero负责人Tim Willis写道:“很多次,我们看到厂商通过“书面证明”来报告漏洞补丁,而不考虑变种或者去解决漏洞的根本原因。”
“因此,有一个担忧就是我们的’开发更快的补丁程序’的政策目标可能会加剧这个问题,这样攻击者十分容易对用户再次发起攻击。”
Project Zero认为新政策不仅让大家有了更多时间来修复漏洞,而且希望这一举措能够让厂商更好地了解应该何时将漏洞公开。此外,延长最初发布的补丁与要解决的漏洞之间的时间,希望厂商可以发布更新和更为彻底的补丁。
尽管政策更改,但Project Zero团队表示,迄今为止,对于漏洞披露期限以及运作方式还是很满意的。 2014年,当团队开始工作时,它说漏洞有时在被发现六个月后仍未修复。现在,在发现的问题中(其中有很多),有90.7%的问题是在90天的时间内修复的。