谷歌招募黑客精英？据说要灭光这些应用bug

admin

谷歌招募黑客精英？据说要灭光这些应用bu

安全焦点（chncto.com）7月16日消息  近日，谷歌公布了最新的项目计划——Project Zero，该项目聚集了大批黑客，据说是要为互联网的应用安全事业做贡献，打造一个“零bug”的应用世界。
当2007年，乔治·霍兹宣布其打破了iPhone手机的AT&T网络“死穴”。对此，苹果公司选择了无视，自己手忙脚乱的修复bug。而当乔治·霍兹在2010年破解了PS3后，被索尼公司起诉了，最终以“不再入侵任何索尼公司的产品”结束争执。
而今年年初，乔治·霍兹又向谷歌Chrome下手了，而谷歌公司在自己Chrome浏览器的防御系统被破解后，反而以150000美元的报酬邀请霍兹修复其发现的Chrome不足之处。
两个月之后，谷歌公司的安全工程师克里斯·埃文斯向霍兹抛出了橄榄枝：是否愿意加入一个汇聚全职黑客精英的神秘组织，找出所有热门软件中存在的安全漏洞！
近日，谷歌终于揭开了这个神秘组织的面纱 —— Project Zero计划，这个计划中汇聚了谷歌顶级的安全研究人员，他们的目的只有一个：找出全世界软件中最棘手的安全漏洞并将它们一一消灭。

Chris Evans

Project Zero项目负责人、前谷歌Chrome安全团队负责人Chris Evans（外号Troublemaker）表示：
全球网民都不该被用户信息被盗这个问题困扰，我们这个计划的目的就是发现那些价值高，影响大的安全漏洞，并将它们全部消灭。
据官方表示，一旦Project Zero项目团队发现了一款应用的bug，则会将该bug提交给应用厂商，并预留60至90天的修复时间，之后才会在谷歌Project Zero项目的官方博客上披露。
Chris Evans表示：
拖延bug修复时间，或是至无限期延长处理时间而导致用户处于危险网络环境的行为都是不被允许的，因而我们也会对软件开发商进行监督，从而保证漏洞都能够即使有效的得到修复。
以下为谷歌官方博客的公告全文：
网络安全是Google的头等大事。我们投入巨资来确保我们的产品安全可靠，其中就包括适用于Google搜索、Gmail、Drive以及数据中心间加密传输的默认SSL强加密技术。除了自身产品的安全性保证，有兴趣的Googler也花一些时间研究如何使网络更安全，使得诸如Heartbleed之类的漏洞得以发现。
这些利用业余时间进行研究所取得的成功使我们能够创建一个被称为“Project Zero”的拥有众多精兵强将的全新团队。
您在使用网络时理应不必为有人利用软件漏洞侵入您的电脑、窃取您的隐私或监控您的对外沟通时感到恐慌。然而在一些复杂的网络攻击当中，我们看到有人针对“Zero-day” 漏洞进行初始攻击，例如人权积极分子等。我们不能对此坐视不管，并且认为，要解决这个问题，我们还可以做得更多。
Project Zero就是我们为开始解决这个问题所做的努力。我们的目标是使遭受针对性攻击的人数明显减少。我们将雇佣最具实践头脑的研究人员，专门投入到增强整个网络安全的工作中去。
我们不会对此项目具体设限，并致力于提高所有拥有大规模用户的软件的安全性，并密切关注网络攻击者的攻击手法、攻击目标及攻击动机。我们将采用常规的方法，比如对大量漏洞进行定位并报告。同时，我们将对可以减轻漏洞攻击损失、漏洞的利用及程序分析——以及任何其它我们的研究人员认为值得投资的领域进行全新的研究。
我们承诺采取透明的工作方式。我们发现的每个漏洞将在外部数据库中记录存档。在漏洞报告公开之前，只有软件供应商可接触到漏洞报告的详情，任何第三方都无权知晓。一旦漏洞报告发布（通常是发布了漏洞补丁程序），您将能够对软件供应商的实时修复表现进行监控，阅览任何有关漏洞可利用性的讨论，并且浏览以往记录和软件崩溃历史记录。我们还承诺尽可能实时地向软件供应商发送漏洞报告，并承诺与他们共同努力，在合理时间内向用户提供漏洞修复程序。
我们正在招募良才。因为我们相信，大多数安全研究人员是出于热爱而从事这项工作。我们提供的是一个我们认为的全新场所，在这里你可以公开并全神贯注地做你热爱的事情。我们也将探寻不同方式让更多的人参与进来，比如将我们深受大家喜爱的奖励措施及嘉宾博文进行扩展延伸。




来源：网络转载

---