计划?提高安全补丁的覆盖范围和质量
Google的零项目改变了其漏洞披露政策,以改善安全补丁的开发和采用。
零项目经理蒂姆·威利斯(Tim Willis)宣布博客文章本周(1月7日)认为,默认情况下,其安全分析师现在将遵守90天的披露截止日期,无论在此期间是否固定漏洞。
以前,详细信息将在修补错误或90天之后(以最早者为准)时向公众发布。如果在供应商和零项目之间达成了宽限期,则例外。
新规则指出,宽敞期间项目零跟踪器报告现在将在修补后自动打开。
威利斯说:“如果供应商和零项目之间达成共识,则可以在90天经过之前向公众开放错误报告。”
“我们将在12个月内尝试此政策,然后考虑是否长期更改它。”
这些更改于2020年1月1日生效,并将在一年中进行试用。
尽管有些人认为截止日期是一种有争议的方法,可能会导致在广泛采用补丁之前释放利用,但谷歌认为,定义的时间表将组织置于足够的压力以迅速开发解决方案的压力。
该团队对过去五年中以前的披露政策的运作方式感到满意,理由是报告漏洞的固定率为97.7%。
在2019年,不完整的修复程序被作为单独的漏洞提交,或者是研究人员在现有报告中添加的。
现在,不完整修复程序的详细信息将报告给供应商,并将其添加到现有报告中,以减少混乱和错误碰撞。这些修复程序将不会发布新的截止日期。
威利斯说,更改背后的理由是鼓励快速开发贴片,因为更快的修复程序将使供应商“额外的时间”发布和主流采用。
零项目还希望,额外的时间将在稳健的补丁开发和减少供应商“裂缝上的纸张”案件的数量之间留下正确的说明,从而导致剥削变体或根本脆弱性的原因很差。
威利斯补充说:“我们不希望这项政策能取悦所有人,但我们乐观地认为,它将改善当前政策,涵盖良好的激励措施,并将成为用户安全的积极步骤。”
讲话每日swbeplay2018官网ig,福雷斯特高级分析师保罗·麦凯(Paul McKay)说:
虽然有人可能会争辩说,将未公开的脆弱性公开延长是一件坏事,这对透明度和安全性是一件坏事,但我实际上同意Google Project零领导者的看法,因为我们应该鼓励安全供应商花更多的时间来确保补丁已解决了根源。脆弱性的原因,而不仅仅是快速而肮脏的热点,因为产品团队的后背靠在墙上。
麦凯补充说:“我认为这是一个积极的发展,旨在提高安全及其IT供应商发布的补丁质量。”
Outpost24的进攻安全经理Hugo Van Den Toorn告诉我们:“过去,一些研究人员可能会得出结论,即当补丁出来时,可以直接披露所有细节 - 事实并非如此。
“寻找脆弱性不应该是定量的老鼠种族,而是定性竞争。”