谷歌漏洞披露政策更新,新增30天缓冲期
2021-04-18 15:23:43 Author: www.freebuf.com(查看原文) 阅读量:151 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

4月17日,谷歌Project Zero安全团队更新了漏洞披露政策,这次更新将会为用户新增30天时间来进行漏洞修补,然后再披露漏洞相关技术细节以避免攻击者利用漏洞进行攻击。

Hacking group used 11 zero-days to attack Windows, iOS, Android users

漏洞披露政策变化

20192020试行2021
1.90天或者漏洞修复的时间(研究人员可自行斟酌),可尽早发布1.90天整,无论漏洞何时修复,提早公布需要双方同意

1. 90天内,如果漏洞没有被修复,技术细节90天后立即公布;如果漏洞被修复,修复后的30天后再公布技术细节

双方同意情况下,可提前发布

2.政策目标: 更快地发布补丁2.政策目标: 更快地发布补丁;发布更彻底的补丁;改善补丁用户采用情况2. 政策目的:更快地发布补丁;给用户采用补丁的适应时间;改善用户补丁采用情况
3. 对不完全修复程序的不一致处理。 研究人员可以将此类问题作为单独的漏洞归档或添加到现有报告中。3.不完全修复的详细信息将报告给厂商,并添加到现有报告(可能已经公开)中,并且不会有新的截止日期。3.不完全修复的详细信息将报告给厂商,并添加到现有报告(可能已经公开)中,并且不会有新的截止日期。
4.在宽限期内*修复的漏洞将在发布补丁后的某个时间公开。4.在宽限期内*修补后,Project Zero漏洞跟踪报告会立即公布。4.在宽限期内修补后,技术细节会在修复的30天后公开。
5.不管修复与否,截止日期(90天)到期后,Project Zero可自行公布漏洞跟踪报告。5. Project Zero漏洞跟踪报告将在第90天(根据双方的协议或更早)公布。5.如果90天内没有修复漏洞,漏洞跟踪报告将会在第90天发布,如果修补了漏洞,将会在修补后30天后发布。

最新漏洞披露政策亮点

1、“90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式,即供应商有90天时间进行补丁开发,另外还有30天时间来进行补丁采用。额外增加的 30 天时间能够让受影响产品的用户有时间更新他们的软件。

2、特殊漏洞,额外“+3”天

此前,Project Zero会给公司 7 个自然日的时间来修补任何被主动利用的漏洞(0day),然后才会在网上公布该漏洞的详细信息。

现在,0day除了同样适用于30天的缓冲期外,公司还可以在原来的7天披露期限上再申请增加3天,以便在一些特殊情况下,给公司更多的时间来创建补丁。

政策调整主要原因

谷歌表示,此前曾有公司抱怨用户应用补丁时缺乏足够的缓冲时间,因为在一些复杂的企业网络中,更新软件打补丁需要几天或几周的时间。新更新的模式将打补丁的时间和采用补丁的时间脱钩,为用户提供了更多的时间去适应。

不过这个模式并不会持续很长时间。谷歌表示,因为考虑到如果直接采用“60+30”或者类似的模式,可能会太过突然和混乱,所以他们决定采用一个大多数厂商可以持续满足的起点,然后逐步降低补丁开发和补丁采用的时间。

Project Zero安全团队还计划在2022年采用“84+28”的模式,即能够让截止日期被7整除,从而降低截止日期在周末的可能性。

目前,网络安全社区的很多人都采用Project Zero的规则来作为向软件供应商以及公众披露漏洞的非官方方案。随着此次更新,想必众多漏洞披露政策也会进行同步更新,用户可以拥有更多的时间去安装和适应补丁。

来源:securityaffairs


文章来源: https://www.freebuf.com/news/269926.html
如有侵权请联系:admin#unsafe.sh