建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+谷歌浏览器 Firefox 30+ 火狐浏览器

返回
2019-08-14
谷歌 Project Zero 90 天截止期限:97.5% 的漏洞在披露前修复

因到期披露未修复软件漏洞,谷歌 Project Zero 安全分析师与微软及苹果起争执。


谷歌 Project Zero 团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。


谷歌表示,自 2014 年创立以来,其漏洞跟踪管理平台上报告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限内被受影响供应商或开源项目修复。


7 月底,谷歌漏洞漏洞跟踪管理平台上有 1,585 个漏洞标记为 “已修复”,仅 66 个漏洞是在没有补丁的情况下披露的。


这 66 个到期披露的漏洞中,有一个是与 2015 年 1 月时流行的 Windows 8.1 相关的。当时微软安全响应中心 (MSRC) 曾要求谷歌在 90 天截止期限基础上多宽限 2 天再披露,但谷歌拒绝了微软的要求,仍按期披露,遂激怒微软安全人员。


微软称,谷歌的决定感觉“不像是遵循原则,更像是‘逮到你了’的宣言”,是将用户暴露在危险之中。而就在此前两周,微软的另一个漏洞也被 Project Zero 在补丁发布前披露了。


谷歌严苛的截止期限与微软长期以来的 “协同漏洞披露”(或称 “负责任披露”)策略并不吻合,微软的策略要求研究人员直到供应商发布了补丁才可以披露漏洞。


然而,就在此事件后一个月,2015 年 2 月 13 日,Project Zero 放松了自己的立场,额外给予了 14 天宽限期。该措施帮助供应商赶在谷歌披露前修复了 174 个漏洞。


如果算上 14 天宽限期内修复的漏洞,Project Zero 发现的漏洞就有 97.5% 都在截止期限前得到了修复,其中 1,224 个漏洞在 90 天截止期限内修复,仅 36 个漏洞是在补丁未推出时披露的。


另一方面,如果漏洞已有野生利用情况,Project Zero 的披露截止期是 7 天。


7 月 31 日发布的 FAQ 中包含了有关其漏洞披露方法的一系列问题和数据,比如是否披露、披露时机,以及披露报告中的细节危及用户和帮助攻击者的程度等。


Project Zero 称,其截止期限方式优于协同披露策略,设置了正确的 “动机平衡”。此前十多年里谷歌一直使用的是协同披露策略,但 Project Zero 认为该策略的效果并不 “令人信服”。


“很多补丁用了半年多才发布,我们报告的一些漏洞甚至根本没修复!我们对供应商可以做得更好持乐观态度,但我们没有看到他们在内部诊断、补丁开发、测试、发布过程上有任何改善,而据我们所知,这些改善是可以为用户带来极大好处的。


在 Project Zero 看来,协同披露策略的症结,在于假定只有漏洞报告者和供应商知道相应漏洞的存在。然而,有时候其他人也发现或掌握了同样的漏洞。


另一方面,该团队宣称,设置截止期限后,一家软件供应商的响应时间相比之前的平均 7 年提高了 40%,另一家则倍增了其安全更新频率。


Project Zero 选择协同披露的唯二案例是 CPU 漏洞幽灵和熔断,这两个漏洞某种程度上影响了所有芯片制造商,也是影响苹果 iOS 和 macOS 所用内核的设计问题。


尽管 Project Zero 的漏洞报告及披露威胁可能令其比独立研究员更具分量,该公司确实鼓励所有研究人员都采用截止期限方法,无论截止期是不是 90 天。其逻辑在于,只要该方法被广泛采纳,最终将提升修复过程标准。


Project Zero 还表示,除了 Project Zero 内部参与  “20%项目” 的少数安全工程师,谷歌产品团队也没权限访问技术性漏洞报告。该团队宣称,谷歌自己都没从截止期限方法中获益,因为大多数谷歌产品漏洞并非 Project Zero 发现的。


谷歌 FAQ:

https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html

新闻中心 > 技术分享

谷歌 Project Zero 90 天截止期限:97.5% 的漏洞在披露前修复

文章编辑于 2019-08-14 14:48:34

因到期披露未修复软件漏洞,谷歌 Project Zero 安全分析师与微软及苹果起争执。


谷歌 Project Zero 团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。


谷歌表示,自 2014 年创立以来,其漏洞跟踪管理平台上报告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限内被受影响供应商或开源项目修复。


7 月底,谷歌漏洞漏洞跟踪管理平台上有 1,585 个漏洞标记为 “已修复”,仅 66 个漏洞是在没有补丁的情况下披露的。


这 66 个到期披露的漏洞中,有一个是与 2015 年 1 月时流行的 Windows 8.1 相关的。当时微软安全响应中心 (MSRC) 曾要求谷歌在 90 天截止期限基础上多宽限 2 天再披露,但谷歌拒绝了微软的要求,仍按期披露,遂激怒微软安全人员。


微软称,谷歌的决定感觉“不像是遵循原则,更像是‘逮到你了’的宣言”,是将用户暴露在危险之中。而就在此前两周,微软的另一个漏洞也被 Project Zero 在补丁发布前披露了。


谷歌严苛的截止期限与微软长期以来的 “协同漏洞披露”(或称 “负责任披露”)策略并不吻合,微软的策略要求研究人员直到供应商发布了补丁才可以披露漏洞。


然而,就在此事件后一个月,2015 年 2 月 13 日,Project Zero 放松了自己的立场,额外给予了 14 天宽限期。该措施帮助供应商赶在谷歌披露前修复了 174 个漏洞。


如果算上 14 天宽限期内修复的漏洞,Project Zero 发现的漏洞就有 97.5% 都在截止期限前得到了修复,其中 1,224 个漏洞在 90 天截止期限内修复,仅 36 个漏洞是在补丁未推出时披露的。


另一方面,如果漏洞已有野生利用情况,Project Zero 的披露截止期是 7 天。


7 月 31 日发布的 FAQ 中包含了有关其漏洞披露方法的一系列问题和数据,比如是否披露、披露时机,以及披露报告中的细节危及用户和帮助攻击者的程度等。


Project Zero 称,其截止期限方式优于协同披露策略,设置了正确的 “动机平衡”。此前十多年里谷歌一直使用的是协同披露策略,但 Project Zero 认为该策略的效果并不 “令人信服”。


“很多补丁用了半年多才发布,我们报告的一些漏洞甚至根本没修复!我们对供应商可以做得更好持乐观态度,但我们没有看到他们在内部诊断、补丁开发、测试、发布过程上有任何改善,而据我们所知,这些改善是可以为用户带来极大好处的。


在 Project Zero 看来,协同披露策略的症结,在于假定只有漏洞报告者和供应商知道相应漏洞的存在。然而,有时候其他人也发现或掌握了同样的漏洞。


另一方面,该团队宣称,设置截止期限后,一家软件供应商的响应时间相比之前的平均 7 年提高了 40%,另一家则倍增了其安全更新频率。


Project Zero 选择协同披露的唯二案例是 CPU 漏洞幽灵和熔断,这两个漏洞某种程度上影响了所有芯片制造商,也是影响苹果 iOS 和 macOS 所用内核的设计问题。


尽管 Project Zero 的漏洞报告及披露威胁可能令其比独立研究员更具分量,该公司确实鼓励所有研究人员都采用截止期限方法,无论截止期是不是 90 天。其逻辑在于,只要该方法被广泛采纳,最终将提升修复过程标准。


Project Zero 还表示,除了 Project Zero 内部参与  “20%项目” 的少数安全工程师,谷歌产品团队也没权限访问技术性漏洞报告。该团队宣称,谷歌自己都没从截止期限方法中获益,因为大多数谷歌产品漏洞并非 Project Zero 发现的。


谷歌 FAQ:

https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html

您对快快产品月刊的整体评价是?

期待您提供更多的改进意见(选填)

提交成功~
提交失败~

售前咨询

  • 售前小溪
    添加售前小溪微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前毛毛
    添加售前毛毛微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前甜甜
    添加售前甜甜微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前豆豆
    添加售前豆豆微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前思思
    添加售前思思微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前轩轩
    添加售前轩轩微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前胖胖
    添加售前胖胖微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前苏苏
    添加售前苏苏微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前芳华
    添加售前芳华微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小志
    添加售前小志微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前霍霍
    添加售前霍霍微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小特
    添加售前小特微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前鑫鑫
    添加售前鑫鑫微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前佳佳
    添加售前佳佳微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小美
    添加售前小美微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小黄
    添加售前小黄微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小赖
    添加售前小赖微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前舟舟
    添加售前舟舟微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前可可
    添加售前可可微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小潘
    添加售前小潘微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前朵儿
    添加售前朵儿微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前糖糖
    添加售前糖糖微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前苒苒
    添加售前苒苒微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前小蒋
    添加售前小蒋微信

    优惠提前知

    服务更全面

    行业资讯通

  • 售前兮兮
    添加售前兮兮微信

    优惠提前知

    服务更全面

    行业资讯通

等级保护报价计算器

今天已有 1593 位获取了等保预算

所在城市:
机房部署:
等保级别:
服务器数量:
是否已购安全产品:
手机号码:
验证码:
开始计算

*稍后有等保顾问致电为您解读报价

拖动下列滑块完成拼图

您的等保预算 0

咨询费 0

测评费 0

定级费 0

产品费 0

联系二维码

详情咨询等保专家:

潘成豪

13055239889