為鼓勵安全人員通報漏洞,Chrome漏洞通報基本獎金的上限,也從5千美元加到1.5萬美元,最高獎金也由1.5萬美元加一倍來到3萬元。(圖片翻攝自https://www.google.com/about/appsecurity/chrome-rewards/index.html#rewards)

儘管Google認為已經做了許多事來確保Chrome用戶的安全,但在最新版本的Chrome,Google更進一步縮短Chrome的修補程式空窗期(patch gap),由33天縮短為15天。

Google Chrome安全小組近日報告2019年第4季的Chrome安全狀況,提到持續改進Chrome的「修補空窗期」(patch gap)。所謂修補空窗期是指,當有安全修補程式已發布到Google開源程式碼資料庫,但尚未經由穩定版Chrome更新發布的這段期間。Chrome的修補空窗期中位數,在76版的33天縮短為78版的15天。所以,現在Google每2個星期,就會定期發布包含重大安全漏洞修補程式更新的版本。Google表示,這點還會持續改善。

其他Chrome的安全措施還包括,Chrome 79起逐步封鎖HTTPS網頁中以HTTP連線下載的內容。Google去年8月宣佈隱私沙箱(Privacy Sandbox)的計畫,以提升用戶隱私保護,其中包括在未來的Chrome 80將限制cookies跨網站追蹤,並在今年內加入反瀏覽器指紋追蹤(fingerprinting)措施。

此外,Google也透過抓漏獎金提升產品安全性。該公司說,去年一整年總共發出650萬美元抓漏獎金,Chrome部份則發出近100萬元。為鼓勵安全人員通報漏洞,Chrome漏洞通報基本獎金的上限,也從5千美元加到1.5萬美元,最高獎金也由1.5萬美元加一倍來到3萬元。


Advertisement

更多 iThome相關內容