行業(yè)動態(tài)

谷歌漏洞披露政策更新,新增30天緩沖期

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-04-19    瀏覽次數(shù):
 

信息來源:Freebuf


4月17日,谷歌Project Zero安全團隊更新了漏洞披露政策,這次更新將會為用戶新增30天時間來進(jìn)行漏洞修補,然后再披露漏洞相關(guān)技術(shù)細(xì)節(jié)以避免攻擊者利用漏洞進(jìn)行攻擊。

Hacking group used 11 zero-days to attack Windows, iOS, Android users

漏洞披露政策變化

2019 2020試行 2021
1.90天或者漏洞修復(fù)的時間(研究人員可自行斟酌),可盡早發(fā)布 1.90天整,無論漏洞何時修復(fù),提早公布需要雙方同意

1. 90天內(nèi),如果漏洞沒有被修復(fù),技術(shù)細(xì)節(jié)90天后立即公布;如果漏洞被修復(fù),修復(fù)后的30天后再公布技術(shù)細(xì)節(jié)

雙方同意情況下,可提前發(fā)布

2.政策目標(biāo): 更快地發(fā)布補丁 2.政策目標(biāo): 更快地發(fā)布補?。话l(fā)布更徹底的補?。桓纳蒲a丁用戶采用情況 2. 政策目的:更快地發(fā)布補?。唤o用戶采用補丁的適應(yīng)時間;改善用戶補丁采用情況
3. 對不完全修復(fù)程序的不一致處理。 研究人員可以將此類問題作為單獨的漏洞歸檔或添加到現(xiàn)有報告中。 3.不完全修復(fù)的詳細(xì)信息將報告給廠商,并添加到現(xiàn)有報告(可能已經(jīng)公開)中,并且不會有新的截止日期。 3.不完全修復(fù)的詳細(xì)信息將報告給廠商,并添加到現(xiàn)有報告(可能已經(jīng)公開)中,并且不會有新的截止日期。
4.在寬限期內(nèi)*修復(fù)的漏洞將在發(fā)布補丁后的某個時間公開。 4.在寬限期內(nèi)*修補后,Project Zero漏洞跟蹤報告會立即公布。 4.在寬限期內(nèi)修補后,技術(shù)細(xì)節(jié)會在修復(fù)的30天后公開。
5.不管修復(fù)與否,截止日期(90天)到期后,Project Zero可自行公布漏洞跟蹤報告。 5. Project Zero漏洞跟蹤報告將在第90天(根據(jù)雙方的協(xié)議或更早)公布。 5.如果90天內(nèi)沒有修復(fù)漏洞,漏洞跟蹤報告將會在第90天發(fā)布,如果修補了漏洞,將會在修補后30天后發(fā)布。

最新漏洞披露政策亮點

1、“90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式,即供應(yīng)商有90天時間進(jìn)行補丁開發(fā),另外還有30天時間來進(jìn)行補丁采用。額外增加的 30 天時間能夠讓受影響產(chǎn)品的用戶有時間更新他們的軟件。

2、特殊漏洞,額外“+3”天

此前,Project Zero會給公司 7 個自然日的時間來修補任何被主動利用的漏洞(0day),然后才會在網(wǎng)上公布該漏洞的詳細(xì)信息。

現(xiàn)在,0day除了同樣適用于30天的緩沖期外,公司還可以在原來的7天披露期限上再申請增加3天,以便在一些特殊情況下,給公司更多的時間來創(chuàng)建補丁。

政策調(diào)整主要原因

谷歌表示,此前曾有公司抱怨用戶應(yīng)用補丁時缺乏足夠的緩沖時間,因為在一些復(fù)雜的企業(yè)網(wǎng)絡(luò)中,更新軟件打補丁需要幾天或幾周的時間。新更新的模式將打補丁的時間和采用補丁的時間脫鉤,為用戶提供了更多的時間去適應(yīng)。

不過這個模式并不會持續(xù)很長時間。谷歌表示,因為考慮到如果直接采用“60+30”或者類似的模式,可能會太過突然和混亂,所以他們決定采用一個大多數(shù)廠商可以持續(xù)滿足的起點,然后逐步降低補丁開發(fā)和補丁采用的時間。

Project Zero安全團隊還計劃在2022年采用“84+28”的模式,即能夠讓截止日期被7整除,從而降低截止日期在周末的可能性。

目前,網(wǎng)絡(luò)安全社區(qū)的很多人都采用Project Zero的規(guī)則來作為向軟件供應(yīng)商以及公眾披露漏洞的非官方方案。隨著此次更新,想必眾多漏洞披露政策也會進(jìn)行同步更新,用戶可以擁有更多的時間去安裝和適應(yīng)補丁。


 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2021-04

下一篇:騙子盯上手機App“屏幕共享”功能 當(dāng)心把你銀行卡錢轉(zhuǎn)光光