雅虎安全团队开始使用与谷歌Project Zero一样的漏洞披露策略——在将漏洞信息通知受影响厂商的90天后,对外界公开漏洞细节。
科普:关于谷歌Project Zero
谷歌Project Zero团队主要由谷歌内部顶尖安全工程师组成,而他们的唯一使命就是发现、跟踪和修补全球性的软件安全漏洞,其中重点是0day漏洞。
Project Zero团队并不仅限于在谷歌自有的产品中寻找系统安全漏洞,因为他们也会在任何软件产品上寻找漏洞。在发现了某个漏洞后,该团队会对其进行曝光,并通过这种方式来鼓励相关公司与谷歌联手对付黑客。
最近几个月内,Project Zerot的研究者们从微软、苹果等公司的产品中找到了大量的漏洞。每当Project Zero发现了一个新的漏洞,他们会通知受影响的厂商。然后从发出通知的那一刻起开始计时,如果厂商在90天以内还没有对这一漏洞打上补丁,那么Project Zero就会对外公布漏洞细节。
雅虎安全团队
雅虎公司于几个月前成立了高级安全小组,由Alex Stamos任首席信息安全官,Chris Rohlf领导渗透测试小组。Rohlf负责的渗透测试团队花了很多时间对雅虎公司内部软件和雅虎公司使用的第三方软件进行测试,一旦他们发现新的漏洞,他们便会紧急修复,然后通知可能受漏洞影响的社区及US-CERT(美国电脑安全紧急回应小组)。
Rohlf在其博客中表示:
高水平的攻击者一直在挖掘并利用0day漏洞,没有任何一个产品逃脱得了。
为了保证我们系统的安全,我们的渗透测试小组一直在对我们的系统进行安全测试,试图找到所有可能存在的漏洞。我们不仅能检测到雅虎公司自己编写的软件上是否存在漏洞,还能检测到雅虎使用的第三方产品上是否也存在漏洞。
我们坚信参与安全生态圈的建设很重要,因为这样可以使更少的人受到漏洞攻击的影响。
90天不修复,漏洞细节公布
雅虎的漏洞披露策略和谷歌一样——90天不修复,漏洞细节公布。
当前有许多大型软件商、互联网公司、组织的内部就有和雅虎渗透测试团队相类似的团队,他们也在不断对自己公司系统的安全进行测试。但是,不是所有的厂商和公司都有和雅虎、谷歌一样的公开策略。
雅虎认为,三个月是漏洞披露的最佳时间上限,因为这样漏洞可以在最快的时间内被打上补丁,同时三个月的时间也足够厂商修复漏洞了。在研究人员发现漏洞后,时间就变成了核心问题,厂商的修复要与时间赛跑。
同时,雅虎承诺将公布他们在三个月内发现的漏洞信息。之所以给出的这么短的时间限制,是因为雅虎想确保这些漏洞会尽快的被打上补丁,但是基于一些特殊的情况雅虎将保留延长或者缩短披露时间的权利。