Google安全研究團隊Project Zero公布,從2020年1月1日開始調整漏洞揭露政策,過去Project Zero的90天漏洞揭露政策,在90天內,一旦漏洞修補完成,Project Zero便會公開漏洞細節,但是從今年開始,無論漏洞是在通報後的第20天還是第90天後修復,都會在第90天的時候揭露細節。

Project Zero政策的漏洞揭漏期限是90天,有鑒於假期或是CVE指派等原因,Google在2015年時鬆綁了揭露政策,當軟體開發商來不及在90天內修補漏洞,還可以申請14天的寬限期,延長揭露時限。Google提到,之所以制定漏洞揭露政策,便是要促使軟體開發商可以更快地開發修復程式,讓零時差攻擊成本上升。

而要達成這一點,Google認為,除了發現與回報大量的安全漏洞之外,更快地開發修補程式與部署修補程式都非常重要,因為當修補程式需要花費長時間開發和部署,便可能讓有心人士,有更多的時間利用漏洞進行攻擊,而且許多時候,Project Zero團隊發現的漏洞,早就已經被利用來攻擊用戶,因此軟體開發商也有壓力,需要更快速地解決問題。

90天揭露政策實施以來,的確加速了漏洞修補的速度。在2014年時,有一些問題需要長達六個月才能修復,但是到了2019年,有97.7%的問題都在時限內被解決。在2020年,Google除了要繼續追求更快的修復程式開發速度之外,還訂立了兩個新目標,第一是更全面的修復程式開發以及改進修復程式的部署。

Project Zero提到,他們看到太多次,軟體開發商都僅是隱藏漏洞,而非從根本上解決漏洞,惡意人士只要稍微改變攻擊手法,同樣能利用該零時差漏洞進行攻擊,因此Google認為,一味的追求快速修復程式開發,會加劇這個問題,另外,發現漏洞且軟體開發商修復漏洞兩件事,都還無法真正提升用戶安全性,只有當修復程式確實部署到用戶裝置時,安全性才會有所改善,因此改進修復程式部署時程,才能確實讓漏洞修復工作保護用戶。

有鑑於此,Project Zero從2020年1月1日開始更改漏洞揭露政策,無論軟體開發商在90天內的任一天完成漏洞修補,Project Zero仍會等到第90天才公布漏洞細節,要是軟體開發商與Project Zero達成共識,還是能夠提早公開漏洞報告。

由於部分軟體開發商認為,當修復程式在大量部署之前就揭露漏洞,反而會危害用戶安全,Google提到,即便他們不認同這樣的說法,但是基於希望有更多軟體供應商,能夠更積極地開發漏洞修復程式,因此調整漏洞揭露政策,提供軟體開發商完整的90天漏洞修復時間,當修復程式越快被開發出來,則修復程式便有越多的部署時間,藉此鼓勵軟體開發商加速修補漏洞的時程,並且不是只做表面功夫。


Advertisement

更多 iThome相關內容