行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Google Project Zero将使公司有更多时间披露安全漏洞
2021-04-19 13:02:49 【

谷歌的零号项目安全部门说,被发现存在安全缺陷的公司将很快有更多的时间来解决问题。

该组织宣布将采用一种新的模式来管理它如何报告新的漏洞和安全漏洞,从而使受害者有更多时间发布修复程序。

展望未来,零号项目将保持通常的90天披露期来解决尚未修复的漏洞,但是,如果在此时间内出现补丁,则团队现在将在补丁发布后等待30天,以发布其调查的技术细节。


零项目窗口

以前,零号项目将始终发布90天后发现的任何缺陷的详细信息,无论是否已发布补丁。但是,团队现在希望更改此设置,以使供应商有更多的时间来确保补丁正确发布。

零项目经理蒂姆·威利斯(Tim Willis)表示:“从今天开始,我们将更改披露政策,将重点重新放在减少漏洞修复所需的时间上,改善当前的行业披露时间基准,以及更改发布技术细节的时间。”在博客文章中宣布了这些更改。

Willis指出,最初的想法是,如果供应商希望用户有更多时间来安装补丁,则他们会优先考虑在90天的周期内而不是以后交付修补程序。

但是在实践中,零号项目在补丁程序开发时间表上通常不会发生重大变化,Willis表示,该小组继续收到供应商的反馈,他们担心在大多数用户安装补丁程序之前会公开发布有关漏洞和漏洞的技术细节。

他说:“换句话说,补丁采用的隐含时间表尚不清楚。”

对于已经普遍存在的漏洞,Google仍将在通知受影响的一方之后一周发布一次披露,并且如果该漏洞未得到修复,还包括技术细节。

但是,如果在7天的通知窗口中发布了补丁,则技术详细信息将在30天后出现。现在,供应商将能够要求3天的宽限期,Willis表示,尽管这个新的“ 90 + 30”系统很快就会被取消,但它需要从供应商可以满足的截止日期开始。

他说:“根据我们当前的数据跟踪漏洞补丁程序时间,很可能我们可以在2022年采用'84 +28'模式(将最后期限平均除以7会大大减少我们的最后期限落在周末的机会),”他说。

“升级到“ 90 + 30”模型可以使我们将补丁的时间与补丁的采用时间脱钩,减少围绕攻击者/防御者的权衡取舍和技术细节共享的争论,同时倡导减少结束时间用户容易受到已知攻击。”

“披露政策是一个复杂的话题,需要做出很多取舍,这并不是一个容易做出的决定。我们乐观地认为,我们的2021年政策和披露试验为未来奠定了良好的基础,并且可以平衡可以带来积极改善用户安全性的激励措施。”


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇6 个提升 Linux 服务器安全的开源.. 下一篇网站遇到CC攻击时可能会产生的误区

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800