google的projectzero现在更关心如何披露安全漏洞
谷歌的ProjectZero网络安全团队正在试用一项新政策,在发布修复程序后,不会提前公开安全漏洞。“默认情况下,无论何时修复错误,都要满90天”,这是该团队的新政策,它将试用一年,然后再决定是否永久采用。
在旧的系统下,ProjectZero的研究人员会给供应商90天的时间来解决问题,然后再将问题公之于众。但是,如果在90天的时间窗口内发布了修补程序,则会提前发现漏洞。这可能是个问题,因为这意味着用户必须在黑客攻击漏洞之前赶紧修补漏洞。该公司可能会修复一个漏洞,但如果该修补程序没有被广泛采用,这并不重要。
所以现在,不管是在projectzero让供应商意识到问题后20天还是90天发布补丁,它仍然要等90天才能将问题公之于众。不过,也有几个例外。一种是两家公司之间达成提前披露的“共同协议”,而ProjectZero也可能会将最后期限延长14天,前提是供应商需要更长时间才能完成修补程序。在野外被利用的漏洞的7天期限将保持不变。
除了给补丁更多的时间被采用外,零号项目还表示,希望新政策能提高一致性,让供应商更好地了解漏洞何时会被公开。它还表示,它渴望看到更多的迭代和彻底的补丁发布,由于供应商现在将有时间之间的补丁最初发布和它解决的漏洞是公开的。
尽管有这些变化,projectzero团队表示,他们对其披露期到目前为止的效果大体满意。2014年,当该团队开始工作时,它说有时在发现错误6个月后,错误没有得到修复。现在,在已经发现的问题中(已经有很多),它说97.7%的问题是在90天内解决的。
- 发表于 2021-04-20 12:49
- 阅读 ( 102 )
- 分类:互联网
你可能感兴趣的文章
谷歌刚刚发现了一个未修补的windows漏洞
...此迅速的公开披露对所有相关人员都不利。这与试图利用安全漏洞的罪犯不同。 ...
iphone漏洞如何允许网站入侵ios设备
...前修补了这个漏洞。只要您运行iOS 12.1.4或更高版本,您现在就可以免受此特定攻击。这说明为什么定期更新设备软件如此重要。公司通常在他们的软件的最新版本中修复这样的安全问题。 ...
幽灵和熔毁仍然是一种威胁吗?你需要的补丁
...代是幽灵的第二代漏洞。第二代是由谷歌的“零计划”(projectzero)发现的(他还发现了第一代)。 ...
google+将于今年4月正式关闭
我们已经知道Google+正在关闭,但我们现在确切地知道Google+将在何时以及如何从我们的生活中消失。公平地说,我们大多数人已经离开了Google+,但这对于仍然使用社交网络的少数人来说很重要。 ...
美国公民选民记录被黑客入侵,现在在黑暗网络上出售
...t的交易价值超过300亿美元。 五角大楼遭到安全漏洞袭击,暴露了3万名雇员。 道德黑客在美国海军陆战队企业网络中发现了150个漏洞。 Facebook正在寻求收购一家网络安全公司,以加强...
3个提高谷歌硬盘安全性和隐私性的有用工具
...密文件,然后再将它们发送到你的Google驱动器,而不是像现在这样将文件发送到Google。看看这些有用的加密工具,使用谷歌驱动器。 ...
英特尔的幽灵漏洞像幽灵一样从过去重现
... 就像幽灵/熔毁一样,谷歌的零计划首先发现了幽灵NG。ProjectZero是谷歌试图在邪恶的个人面前发现并负责任地披露Zero天漏洞的尝试。他们发现了至少一个新的幽灵NG缺陷,这意味着在不久的将来很可能会有安全补丁,因为Project...
每日新闻综述:谷歌披露ios“无交互”漏洞
Google通过projectzero计划披露了iOS中的六个漏洞。在每种情况下,黑客都可以在某人的iPhone上执行远程代码,而无需用户进行任何交互。苹果iOS12.3修复了其中五个问题。 ProjectZero是谷歌主动发现Zero-day漏洞并将其披露给相应的**商...
如何定制googlefeed(并使其真正有用)
...发布googlenow时,受到了Android用户的广泛赞誉。然而,当现在演变成googlefeed时,这种变化就不那么被接受了。但是如果你花点时间来定制它的话,Feed是很棒的。 相关:如何使用Google助手在设备**问googlenow 然而,在我们讨论定制Fe...
下面是如何在750万美元的google plus安全漏洞解决方案中提出索赔
...us账户的美国人,如果认为自己受到了谷歌在2018年披露的安全漏洞的影响,现在可以注册从集体诉讼和解中获得支付。这场官司总共和解了750万美元。在扣除律师费和其他费用后,每个集体诉讼成员都有资格获得高达12美元的赔...
0 篇文章
