于是的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整90天。
即便如此,谷歌还是对过去五年的政策表现感到满意,指出有97.9%的漏洞报告在当前的90天披露政策下得到了有效的修复。
【题图via9to5Google】
相比之下,有些bug拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在做出一些改变。
那些易被曝光漏洞的企业,将被给予默认90天的缓冲时间,而无论其将于何时修复相关bug。若企业顺利或提前完成了修复,也可以与谷歌ProjectZero取得联系,以提前公布漏洞详情。
●厂家在20天内修复了bug?谷歌将在第90天公布漏洞详情;
●厂家在90天内修复了bug?谷歌也将在第90天公布漏洞详情!
当然,在争取推动“更快的补丁开发”流程的同时,ProjectZero还希望全面提升补丁程序的采用率。
(1)现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,大家将继续紧迫地追求这一点。
(2)然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,ProjectZero团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。
(3)改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到bug得到适当的修复。只有最终用户意识到相关bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。
最后,在新政策转入“长期实施”之前,Google将给予12个月的试用。
