圖片來源: 

pixabay

專門探究各種零時差漏洞的Google Project Zero本周公布2021年的漏洞揭露政策,若業者在90天內修補了漏洞,那麼Project Zero團隊將會再提供30天的修補緩衝期,以讓使用者有充裕的修補時間,之後才會公開漏洞的技術細節,但倘若業者未能於90天內修補,那麼該團隊在90天後就會直接公開漏洞細節。

原本Project Zero的漏洞揭露政策如下:對於尚未被開採的漏洞,業者必須在90天內修補,或是額外爭取14天的寬限期,期限一到,不管有沒有修補完成,該團隊都會公開漏洞細節;而對於已被開採的漏洞,業者則必須在7天內修補,期限一到不管有無修補都會公開漏洞細節,且無寬限期。

新版的漏洞揭露政策對於尚未修補的漏洞所採取的措施跟舊版一樣,都是在90天或7天之後就會公開漏洞細節,但對於已於90天及7天內修補的漏洞,Project Zero將會額外提供30天的修補緩衝期,之後才會公開漏洞細節。

新政策同樣允許業者針對未被開採的漏洞爭取14天的寬限期,並放寬對已開採漏洞的規定,允許業者要求3天的寬限期。但這些寬限期將會擠壓修補緩衝期的空間,例如假設未被開採的漏洞花了100天才修補完成,那麼修補緩衝期就只剩20天,代表Project Zero團隊無論如何都會在120天之後公布漏洞細節。

其實Project Zero團隊一直想縮短業者的修補時間,加速漏洞的揭露時間,因為該團隊相信漏洞分析對資安社群的重要性超過揭露風險,此次的變更是納入了外界的意見,再加上期望獲得最佳的使用者安全而來。

不過,Project Zero也預告,明年可能會改成84天的業者修補期限,以及28天的使用者修補緩衝期。

熱門新聞


Advertisement