行業(yè)動(dòng)態(tài)

谷歌漏洞披露政策更新,新增30天緩沖期

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-04-19    瀏覽次數(shù):
 

信息來(lái)源:Freebuf


4月17日,谷歌Project Zero安全團(tuán)隊(duì)更新了漏洞披露政策,這次更新將會(huì)為用戶新增30天時(shí)間來(lái)進(jìn)行漏洞修補(bǔ),然后再披露漏洞相關(guān)技術(shù)細(xì)節(jié)以避免攻擊者利用漏洞進(jìn)行攻擊。

Hacking group used 11 zero-days to attack Windows, iOS, Android users

漏洞披露政策變化

2019 2020試行 2021
1.90天或者漏洞修復(fù)的時(shí)間(研究人員可自行斟酌),可盡早發(fā)布 1.90天整,無(wú)論漏洞何時(shí)修復(fù),提早公布需要雙方同意

1. 90天內(nèi),如果漏洞沒(méi)有被修復(fù),技術(shù)細(xì)節(jié)90天后立即公布;如果漏洞被修復(fù),修復(fù)后的30天后再公布技術(shù)細(xì)節(jié)

雙方同意情況下,可提前發(fā)布

2.政策目標(biāo): 更快地發(fā)布補(bǔ)丁 2.政策目標(biāo): 更快地發(fā)布補(bǔ)?。话l(fā)布更徹底的補(bǔ)??;改善補(bǔ)丁用戶采用情況 2. 政策目的:更快地發(fā)布補(bǔ)丁;給用戶采用補(bǔ)丁的適應(yīng)時(shí)間;改善用戶補(bǔ)丁采用情況
3. 對(duì)不完全修復(fù)程序的不一致處理。 研究人員可以將此類(lèi)問(wèn)題作為單獨(dú)的漏洞歸檔或添加到現(xiàn)有報(bào)告中。 3.不完全修復(fù)的詳細(xì)信息將報(bào)告給廠商,并添加到現(xiàn)有報(bào)告(可能已經(jīng)公開(kāi))中,并且不會(huì)有新的截止日期。 3.不完全修復(fù)的詳細(xì)信息將報(bào)告給廠商,并添加到現(xiàn)有報(bào)告(可能已經(jīng)公開(kāi))中,并且不會(huì)有新的截止日期。
4.在寬限期內(nèi)*修復(fù)的漏洞將在發(fā)布補(bǔ)丁后的某個(gè)時(shí)間公開(kāi)。 4.在寬限期內(nèi)*修補(bǔ)后,Project Zero漏洞跟蹤報(bào)告會(huì)立即公布。 4.在寬限期內(nèi)修補(bǔ)后,技術(shù)細(xì)節(jié)會(huì)在修復(fù)的30天后公開(kāi)。
5.不管修復(fù)與否,截止日期(90天)到期后,Project Zero可自行公布漏洞跟蹤報(bào)告。 5. Project Zero漏洞跟蹤報(bào)告將在第90天(根據(jù)雙方的協(xié)議或更早)公布。 5.如果90天內(nèi)沒(méi)有修復(fù)漏洞,漏洞跟蹤報(bào)告將會(huì)在第90天發(fā)布,如果修補(bǔ)了漏洞,將會(huì)在修補(bǔ)后30天后發(fā)布。

最新漏洞披露政策亮點(diǎn)

1、“90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式,即供應(yīng)商有90天時(shí)間進(jìn)行補(bǔ)丁開(kāi)發(fā),另外還有30天時(shí)間來(lái)進(jìn)行補(bǔ)丁采用。額外增加的 30 天時(shí)間能夠讓受影響產(chǎn)品的用戶有時(shí)間更新他們的軟件。

2、特殊漏洞,額外“+3”天

此前,Project Zero會(huì)給公司 7 個(gè)自然日的時(shí)間來(lái)修補(bǔ)任何被主動(dòng)利用的漏洞(0day),然后才會(huì)在網(wǎng)上公布該漏洞的詳細(xì)信息。

現(xiàn)在,0day除了同樣適用于30天的緩沖期外,公司還可以在原來(lái)的7天披露期限上再申請(qǐng)?jiān)黾?天,以便在一些特殊情況下,給公司更多的時(shí)間來(lái)創(chuàng)建補(bǔ)丁。

政策調(diào)整主要原因

谷歌表示,此前曾有公司抱怨用戶應(yīng)用補(bǔ)丁時(shí)缺乏足夠的緩沖時(shí)間,因?yàn)樵谝恍?fù)雜的企業(yè)網(wǎng)絡(luò)中,更新軟件打補(bǔ)丁需要幾天或幾周的時(shí)間。新更新的模式將打補(bǔ)丁的時(shí)間和采用補(bǔ)丁的時(shí)間脫鉤,為用戶提供了更多的時(shí)間去適應(yīng)。

不過(guò)這個(gè)模式并不會(huì)持續(xù)很長(zhǎng)時(shí)間。谷歌表示,因?yàn)榭紤]到如果直接采用“60+30”或者類(lèi)似的模式,可能會(huì)太過(guò)突然和混亂,所以他們決定采用一個(gè)大多數(shù)廠商可以持續(xù)滿足的起點(diǎn),然后逐步降低補(bǔ)丁開(kāi)發(fā)和補(bǔ)丁采用的時(shí)間。

Project Zero安全團(tuán)隊(duì)還計(jì)劃在2022年采用“84+28”的模式,即能夠讓截止日期被7整除,從而降低截止日期在周末的可能性。

目前,網(wǎng)絡(luò)安全社區(qū)的很多人都采用Project Zero的規(guī)則來(lái)作為向軟件供應(yīng)商以及公眾披露漏洞的非官方方案。隨著此次更新,想必眾多漏洞披露政策也會(huì)進(jìn)行同步更新,用戶可以擁有更多的時(shí)間去安裝和適應(yīng)補(bǔ)丁。


 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2021-04

下一篇:騙子盯上手機(jī)App“屏幕共享”功能 當(dāng)心把你銀行卡錢(qián)轉(zhuǎn)光光