HP TippingPoint限期公布漏洞資訊

為了強迫業者修補產品漏洞，HP周二（8/3）宣布，TippingPoint零時差計畫（Zero Day Initiative，ZDI) 最晚會在得知安全漏洞的6個月後公布漏洞公告，不論業者已修補與否。

ZDI為HP TippingPoint所負責的安全研究計畫，主要偵測各種可導致網路攻擊或安全缺口的軟體漏洞，幾乎所有的安全研究計畫都會等到業者發表修補程式後才揭露安全漏洞，但ZDI則決定限期6個月，是首個規定漏洞揭露期限的計畫。

HP表示，新的政策會在6月個後公布有限的漏洞資訊，以讓終端使用者能夠採取自保措施，同時也鼓勵業者應儘快修補漏洞以保障客戶安全。

TippingPoint安全研究經理Aaron Portnoy表示，隨著惡意活動達到新的階段及愈來愈複雜的應用程式，企業需要最新的防禦以保護重大的資料資產，此一新政策讓使用者在安全威脅來臨前就能作好防範，以降低資料、財務或生產力的損失。

大部份的軟體業者皆希望資安業者或研究人員可秉持責任揭露原則，在業者尚未釋出修補程式前不要揭露軟體漏洞，多數的資安業者皆會遵循此一原則，但不可否認地，業者有時候的確花了太長的時間來修補漏洞。（編譯/陳曉莉）