谷歌的“零项目”(Project Zero)透露,它将试行一项新政策,即安全团队在披露其系统或软件中的问题之前,给公司整整90天的时间。
这家搜索巨头的安全分析师团队因发现重大漏洞而受到好评,但因其披露时间相对较快而受到业内其他人的批评。新的披露政策旨在解决这一问题,同时也要求公司对如何修补安全问题承担更多的责任。
谷歌Zero项目经理蒂姆·威利斯在博客中解释说,虽然该团队可能正在修改其披露政策,但在过去五年中取得了令人印象深刻的成果,他说:
“我们非常满意我们的披露政策在过去五年中效果如何。我们已经看到供应商修补严重漏洞的速度有了一些很大的改进,现在97.7%的漏洞报告是在我们的90天披露政策范围内确定的。”
在审查了其主题披露政策之后,Zero项目宣布,它将在2020年做出一些改变,包括所有公司都将获得“默认情况下的整整90天,无论何时修复bug”。但是,如果供应商和Zero项目之间有协议,则可以在90天截止日期之前发布bug报告。
谷歌的安全团队现在也将致力于鼓励公司创建更彻底的补丁,并在90天内改进采用。在过去,Zero项目的“更快的补丁开发”目标可能导致供应商通过“掩盖裂缝”来修补漏洞,而没有解决漏洞的根本原因,而对其披露政策的修改旨在纠正这一点。
零项目还打算改进及时的补丁采用,以便最终用户实际上可以受益于错误被修复。
谷歌计划试用新政策12个月,然后再决定是否“长期改变”。