圖片來源: 

pixabay

臉書昨(3)日宣布更新開發商政策,未來發現平臺上第三方軟體有漏洞會主動告知,並設下90天不補就會公告的期限。

臉書內部有漏洞檢查工具,像是Zoncolan或臉書8月開源的Pysa來檢查平臺上眾多第三方應用程式。臉書指出,他們偶爾會在第三方程式碼和系統,包括開源軟體中發現重大安全漏洞或臭蟲。當發現臭蟲或漏洞時,他們希望廠商快點部署修補程式或更新系統,以解決問題,同時通知受影響的用戶。

臉書了解漏洞修補有輕重緩急,往往需要臉書和廠商/開發商的合作,因此在更新的漏洞揭露政策中,臉書清楚說明對修補漏洞的期望,並表示未來將公布漏洞。

臉書表示,未來發現第三方軟體或系統有漏洞後會告知開發商。他們希望開發商在21天內做出回應,告知有什麼緩解方法來保護用戶。如果21天內沒有回應,臉書就保留漏洞揭露權利。90天內若開發商沒有告知修補漏洞或更新,臉書就會公布漏洞細節。

揭露漏洞時,臉書將對大眾公開資訊、也可能直接通知受影響的用戶,並先後釋出精簡及完整版資訊。

期限從臉書發出通知時起算。臉書表示會提供漏洞描述,必要時會提供進一步資訊,並遵守揭露的步驟和時間表。但是如果臉書判定漏洞的安全風險重大,像是已經發生網路攻擊,或是已有修補程式,但開發商沒必要延遲部署,臉書也可能提前揭露。但是如果該專案需要更長作業時間,臉書說必要時也會延後揭露時程。

臉書並表示一般情形下,該公司拒絕針對其通報的特定安全漏洞簽定保密協定。

為了執行新作法,臉書要求第三方軟體開發商提供聯絡窗口,以便臉書發現漏洞時發送電子郵件,並提交臭蟲通報,此人也必須確認收到臉書通知,並說明臉書提供的資訊是否充足。之後漏洞修補進度也以該窗口通知為準。

但是如果開發商發現的是臉書或其他軟體的漏洞,臉書也鼓勵他們透過抓漏方案通報。

最新作法使臉書在安全上扮演更積極角色。近年Google的Project Zero已經揭露多項重大漏洞,而Google也因為90天緘默期的嚴格執行,數次和微軟發生過互揭漏洞的情形。不過Google表示96%的漏洞,都可在90天內修補完成。

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement