谷歌漏洞披露政策更新,新增30天缓冲期

安全
4月17日,谷歌Project Zero安全团队更新了漏洞披露政策,这次更新将会为用户新增30天时间来进行漏洞修补,然后再披露漏洞相关技术细节以避免攻击者利用漏洞进行攻击。

4月17日,谷歌Project Zero安全团队更新了漏洞披露政策,这次更新将会为用户新增30天时间来进行漏洞修补,然后再披露漏洞相关技术细节以避免攻击者利用漏洞进行攻击。

 

漏洞披露政策变化

最新漏洞披露政策亮点

(1) “90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式,即供应商有90天时间进行补丁开发,另外还有30天时间来进行补丁采用。额外增加的 30 天时间能够让受影响产品的用户有时间更新他们的软件。

(2) 特殊漏洞,额外“+3”天

此前,Project Zero会给公司 7 个自然日的时间来修补任何被主动利用的漏洞(0day),然后才会在网上公布该漏洞的详细信息。

现在,0day除了同样适用于30天的缓冲期外,公司还可以在原来的7天披露期限上再申请增加3天,以便在一些特殊情况下,给公司更多的时间来创建补丁。

政策调整主要原因

谷歌表示,此前曾有公司抱怨用户应用补丁时缺乏足够的缓冲时间,因为在一些复杂的企业网络中,更新软件打补丁需要几天或几周的时间。新更新的模式将打补丁的时间和采用补丁的时间脱钩,为用户提供了更多的时间去适应。

不过这个模式并不会持续很长时间。谷歌表示,因为考虑到如果直接采用“60+30”或者类似的模式,可能会太过突然和混乱,所以他们决定采用一个大多数厂商可以持续满足的起点,然后逐步降低补丁开发和补丁采用的时间。

Project Zero安全团队还计划在2022年采用“84+28”的模式,即能够让截止日期被7整除,从而降低截止日期在周末的可能性。

目前,网络安全社区的很多人都采用Project Zero的规则来作为向软件供应商以及公众披露漏洞的非官方方案。随着此次更新,想必众多漏洞披露政策也会进行同步更新,用户可以拥有更多的时间去安装和适应补丁。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-11-04 14:55:06

谷歌GitHub漏洞

2015-11-17 10:44:50

2020-09-04 06:19:21

漏洞网络安全基础设施安全

2023-11-08 13:34:13

2017-02-28 21:55:58

2010-07-15 10:57:44

2015-01-15 10:16:10

Android漏洞

2020-11-20 16:22:45

Chrome谷歌隐私政策

2023-07-06 07:50:00

人工智能谷歌

2018-04-25 10:51:58

2021-12-14 16:07:04

Log4Shell漏洞黑客

2022-04-26 06:37:18

漏洞网络安全网络攻击

2021-06-15 05:17:19

谷歌Chrome 浏览器

2010-06-30 16:34:08

2020-11-08 13:49:27

漏洞GitHub谷歌

2015-01-05 14:24:12

2013-07-03 16:18:00

谷歌眼镜隐私政策隐私安全

2014-12-12 11:15:26

2015-03-14 10:30:58

谷歌漏洞信息泄露

2015-10-20 09:07:44

点赞
收藏

51CTO技术栈公众号