Google抓蟲團隊Project Zero於上周公布了新的揭露政策,當90天的漏洞揭露截止日到期時遇到假日,將會順延到工作天,若軟體開發商來不及在90天內修補臭蟲,亦可申請14天的揭露寬限期。

新的揭露政策是源自外界的批評,特別是Google在去年12月30日因屆90天的揭露期限而自動公布微軟Windows 8.1 Update的零時差漏洞與概念性攻擊程式後,由於當時正逢美國長假,因而引起撻伐,微軟還抨擊Google只是為了表達「被我抓到了」,而非什麼原則性問題。

Google重申對90天揭露期的堅持,在把相關漏洞提交給軟體開發商的90天後就會公布漏洞細節。Google表示,駭客安全社群通常比防禦安全社群投入更多的漏洞研究,這使得駭客安全社群經常比Google還早發現漏洞,揭露期限一直是安全產業的標準作法,它促使業者儘快釋出修補程式以改善使用者的安全。

不過,為了回應外界的意見,Google修改了揭露政策,只要揭露期限當天遇到周末或美國假日,就會順延到下一個工作天才發表;另也提供14天的寬限期,若開發商來不及修補,且向Google確認會在揭露期限過後的14天之內修補,那麼Google就會等到修補程式出爐後再公開漏洞細節,這代表未來Project Zero只會在業者嚴重錯過90天及兩周寬限期之後才會揭露未被修補的安全漏洞。

只是,Google也決定保留權力以在特殊狀況提前或延後揭露期限,並承諾會以同樣的標準公平對待所有的軟體開發商。

根據Google的統計,Project Zero成立迄今所發現的154個漏洞中,有85%是在90天內修補,若只算去年10月以後發現的漏洞,有95%是在90天內修補,此外,針對Adobe Flash產品所發現的37個漏洞,全部都在90天就被修補完畢。(編譯/陳曉莉)


熱門新聞

Advertisement