设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Google放宽漏洞披露时限,给修补者增加14天宽限期

2015-2-17 08:28| 发布者: 随便、先森。| 查看: 1482| 评论: 0|来自: 360安全播报

摘要: 互联网的安全形势越来越严峻,而软件漏洞则是网络犯罪的直接突破口。比方说,卡巴斯基近日披露的网络犯罪团伙“Carbanak”就是利用远程执行的漏洞病毒向银行职员电脑植入木马来实施盗窃,共有上百家银行被盗走了总计 ...

互联网的安全形势越来越严峻,而软件漏洞则是网络犯罪的直接突破口。比方说,卡巴斯基近日披露的网络犯罪团伙“Carbanak”就是利用远程执行的漏洞病毒向银行职员电脑植入木马来实施盗窃,共有上百家银行被盗走了总计 10 亿美元。

因此,及时发现漏洞成为网络安全的重要基础。为此,Google 去年推出了一项名为 Project Zero 的计划。该计划会让 Google 工程师找出任何软件服务存在的所谓“0 日”漏洞(开发者无暇修补的此前未知的安全漏洞),然后给漏洞责任方90 天的窗口时间来修复漏洞。一旦该时间过去,Google 就会启动机制自动公布该漏洞。

Google 原以为 3 个月的时间应该足以修复好漏洞,但是此前 Project Zero 两度在微软未及时修补好漏洞的情况下将其公诸于众引发了后者的不满,称这种一刀切的行为将用户置于危险的境地。也许是在这种背景下,Google修改了披露规则,在原有 90 天的基础上又增加了 14 天的宽限期。

在这一新规下,如果漏洞责任方主动联系 Google,并指出漏洞正在被修复但在 90 天的时间窗口内无法完成的话,Google 将会再提供 14 天的宽限期供前者给软件打好补丁。此外,针对截止日期恰逢周末或节假日的情况 Google 也会顺延。另外,Google 也指出,在极端情况下截止期限也可能提前或者拖后。

Google 并不是唯一一家披露漏洞的组织。比方说 Zero Day Initiative 以及卡内基梅隆大学的计算机紧急响应中心也有各自的漏洞披露机制。前者给修复者的时间较为宽松,可以有 120 天,而后者对于修复者来说就是唐僧的紧箍咒了,只有 45 天。Google 在这当中的时间应该是适中的。当然,时间定多长似乎并没有一个理想的固定期限,因为漏洞披露应该是越短越好,而漏洞修复视具体情况需要不同的时间。

[消息来源:googleprojectzero.blogspot.comtheverge.com]


原文链接:http://www.36kr.com/p/219832.html


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部