臉書將主動通報第三方軟體有程式碼漏洞，超過90天沒補好將公布

臉書昨（3）日宣布更新開發商政策，未來發現平臺上第三方軟體有漏洞會主動告知，並設下90天不補就會公告的期限。

臉書內部有漏洞檢查工具，像是Zoncolan或臉書8月開源的Pysa來檢查平臺上眾多第三方應用程式。臉書指出，他們偶爾會在第三方程式碼和系統，包括開源軟體中發現重大安全漏洞或臭蟲。當發現臭蟲或漏洞時，他們希望廠商快點部署修補程式或更新系統，以解決問題，同時通知受影響的用戶。

臉書了解漏洞修補有輕重緩急，往往需要臉書和廠商／開發商的合作，因此在更新的漏洞揭露政策中，臉書清楚說明對修補漏洞的期望，並表示未來將公布漏洞。

臉書表示，未來發現第三方軟體或系統有漏洞後會告知開發商。他們希望開發商在21天內做出回應，告知有什麼緩解方法來保護用戶。如果21天內沒有回應，臉書就保留漏洞揭露權利。90天內若開發商沒有告知修補漏洞或更新，臉書就會公布漏洞細節。

揭露漏洞時，臉書將對大眾公開資訊、也可能直接通知受影響的用戶，並先後釋出精簡及完整版資訊。

期限從臉書發出通知時起算。臉書表示會提供漏洞描述，必要時會提供進一步資訊，並遵守揭露的步驟和時間表。但是如果臉書判定漏洞的安全風險重大，像是已經發生網路攻擊，或是已有修補程式，但開發商沒必要延遲部署，臉書也可能提前揭露。但是如果該專案需要更長作業時間，臉書說必要時也會延後揭露時程。

臉書並表示一般情形下，該公司拒絕針對其通報的特定安全漏洞簽定保密協定。

為了執行新作法，臉書要求第三方軟體開發商提供聯絡窗口，以便臉書發現漏洞時發送電子郵件，並提交臭蟲通報，此人也必須確認收到臉書通知，並說明臉書提供的資訊是否充足。之後漏洞修補進度也以該窗口通知為準。

但是如果開發商發現的是臉書或其他軟體的漏洞，臉書也鼓勵他們透過抓漏方案通報。

最新作法使臉書在安全上扮演更積極角色。近年Google的Project Zero已經揭露多項重大漏洞，而Google也因為90天緘默期的嚴格執行，數次和微軟發生過互揭漏洞的情形。不過Google表示96%的漏洞，都可在90天內修補完成。