互聯網的安全形勢越來越嚴峻,而軟件漏洞則是網絡犯罪的直接突破口。比方説,卡巴斯基近日披露的網絡犯罪團伙“Carbanak”就是利用遠程執行的漏洞病毒向銀行職員電腦植入木馬來實施盜竊,共有上百家銀行被盜走了總計10億美元。
因此,及時發現漏洞成為網絡安全的重要基礎。為此,Google去年推出了一項名為Project Zero的計劃。該計劃會讓Google工程師找出任何軟件服務存在的所謂“0日”漏洞(開發者無暇修補的此前未知的安全漏洞),然後給漏洞責任方 90 天的窗口時間來修復漏洞。一旦該時間過去,Google就會啟動機制自動公佈該漏洞。
Google原以為3個月的時間應該足以修復好漏洞,但是此前Project Zero兩度在微軟未及時修補好漏洞的情況下將其公諸於眾引發了後者的不滿,稱這種一刀切的行為將用户置於危險的境地。也許是在這種背景下,Google修改了披露規則,在原有90天的基礎上又增加了14天的寬限期。
在這一新規下,如果漏洞責任方主動聯繫Google,並指出漏洞正在被修復但在90天的時間窗口內無法完成的話,Google將會再提供14天的寬限期供前者給軟件打好補丁。此外,針對截止日期恰逢週末或節假日的情況Google也會順延。另外,Google也指出,在極端情況下截止期限也可能提前或者拖後。
Google並不是唯一一家披露漏洞的組織。比方説Zero Day Initiative以及卡內基梅隆大學的計算機緊急響應中心也有各自的漏洞披露機制。前者給修復者的時間較為寬鬆,可以有120天,而後者對於修復者來説就是唐僧的緊箍咒了,只有45天。Google在這當中的時間應該是適中的。當然,時間定多長似乎並沒有一個理想的固定期限,因為漏洞披露應該是越短越好,而漏洞修復視具體情況需要不同的時間。
[消息來源:googleprojectzero.blogspot.com, theverge.com]
資料來源:36Kr
請按此登錄後留言。未成為會員? 立即註冊