Google “仁心大发”,可酌情增加 14 天漏洞曝光宽限期
前段时间,Google 的安全小分队 Project Zero 和微软以及苹果之间关于漏洞修补的期限问题闹得沸沸扬扬,Google 严格恪守的 90 天修复期限被认为有些太不近人情,招致了很多批评和质疑。
Google 在今天终于松了一下口风,修改了漏洞曝光政策,表示:
在 90 天宽限期到期之前,如果厂商确实正在进行修补,或准备补丁推送工作,可获得额外 14 天的宽限期。同时,如果截止日期落在周末和假期,则自动顺延至下一个工作日。
同时,Google 公布的一组数据显示,自 Project Zero 项目设立以来,共有 154 个漏洞被修复,其中85% 是在 90 天的宽限期内修复的。而在 2014 年 10 月 1 日以后公布的 73 项漏洞中,90 天内修复的比例则高达 95%。
设定漏洞曝光截止日期一直是行业通行的标准,包括卡内基梅隆大学 CERT(计算机紧急应对小组)设定的期限是 45 天,雅虎设定的期限同样是 90 天,而惠普 ZDI 的期限则稍长一些,为 120 天。最后期限政策加速了厂商向最终用户推送补丁的速度。
不过软件厂商也有着自己固定的漏洞修补节奏,比如微软著名的“周二补丁日”,即微软会固定在每个月的第二个星期二发布系统更新补丁。但这一固定的修复时间会给网络造成不小的压力,同时也被网络管理人员称为“黑色星期二”。
Google 在修改漏洞曝光政策的同时,也保留了根据漏洞严重程度提前或推后漏洞公开时间的权利。
题图来自 Business2Community