雅虎安全團(tuán)隊(duì)開始使用與谷歌Project Zero一樣的漏洞披露策略——在將漏洞信息通知受影響廠商的90天后，對(duì)外界公開漏洞細(xì)節(jié)。

[[124376]]

科普：關(guān)于谷歌Project Zero

谷歌Project Zero團(tuán)隊(duì)主要由谷歌內(nèi)部頂尖安全工程師組成，而他們的唯一使命就是發(fā)現(xiàn)、跟蹤和修補(bǔ)全球性的軟件安全漏洞，其中重點(diǎn)是0day漏洞。

Project Zero團(tuán)隊(duì)并不僅限于在谷歌自有的產(chǎn)品中尋找系統(tǒng)安全漏洞，因?yàn)樗麄円矔?huì)在任何軟件產(chǎn)品上尋找漏洞。在發(fā)現(xiàn)了某個(gè)漏洞后，該團(tuán)隊(duì)會(huì)對(duì)其進(jìn)行曝光，并通過(guò)這種方式來(lái)鼓勵(lì)相關(guān)公司與谷歌聯(lián)手對(duì)付黑客。

最近幾個(gè)月內(nèi)，Project Zerot的研究者們從微軟、蘋果等公司的產(chǎn)品中找到了大量的漏洞。每當(dāng)Project Zero發(fā)現(xiàn)了一個(gè)新的漏洞，他們會(huì)通知受影響的廠商。然后從發(fā)出通知的那一刻起開始計(jì)時(shí)，如果廠商在90天以內(nèi)還沒有對(duì)這一漏洞打上補(bǔ)丁，那么Project Zero就會(huì)對(duì)外公布漏洞細(xì)節(jié)。

雅虎安全團(tuán)隊(duì)

雅虎公司于幾個(gè)月前成立了高級(jí)安全小組，由Alex Stamos任首席信息安全官，Chris Rohlf領(lǐng)導(dǎo)滲透測(cè)試小組。Rohlf負(fù)責(zé)的滲透測(cè)試團(tuán)隊(duì)花了很多時(shí)間對(duì)雅虎公司內(nèi)部軟件和雅虎公司使用的第三方軟件進(jìn)行測(cè)試，一旦他們發(fā)現(xiàn)新的漏洞，他們便會(huì)緊急修復(fù)，然后通知可能受漏洞影響的社區(qū)及US-CERT(美國(guó)電腦安全緊急回應(yīng)小組)。

Rohlf在其博客中表示：

高水平的攻擊者一直在挖掘并利用0day漏洞，沒有任何一個(gè)產(chǎn)品逃脫得了。

為了保證我們系統(tǒng)的安全，我們的滲透測(cè)試小組一直在對(duì)我們的系統(tǒng)進(jìn)行安全測(cè)試，試圖找到所有可能存在的漏洞。我們不僅能檢測(cè)到雅虎公司自己編寫的軟件上是否存在漏洞，還能檢測(cè)到雅虎使用的第三方產(chǎn)品上是否也存在漏洞。

我們堅(jiān)信參與安全生態(tài)圈的建設(shè)很重要，因?yàn)檫@樣可以使更少的人受到漏洞攻擊的影響。

90天不修復(fù)，漏洞細(xì)節(jié)公布

雅虎的漏洞披露策略和谷歌一樣——90天不修復(fù)，漏洞細(xì)節(jié)公布。

當(dāng)前有許多大型軟件商、互聯(lián)網(wǎng)公司、組織的內(nèi)部就有和雅虎滲透測(cè)試團(tuán)隊(duì)相類似的團(tuán)隊(duì)，他們也在不斷對(duì)自己公司系統(tǒng)的安全進(jìn)行測(cè)試。但是，不是所有的廠商和公司都有和雅虎、谷歌一樣的公開策略。

雅虎認(rèn)為，三個(gè)月是漏洞披露的最佳時(shí)間上限，因?yàn)檫@樣漏洞可以在最快的時(shí)間內(nèi)被打上補(bǔ)丁，同時(shí)三個(gè)月的時(shí)間也足夠廠商修復(fù)漏洞了。在研究人員發(fā)現(xiàn)漏洞后，時(shí)間就變成了核心問題，廠商的修復(fù)要與時(shí)間賽跑。

同時(shí)，雅虎承諾將公布他們?cè)谌齻€(gè)月內(nèi)發(fā)現(xiàn)的漏洞信息。之所以給出的這么短的時(shí)間限制，是因?yàn)檠呕⑾氪_保這些漏洞會(huì)盡快的被打上補(bǔ)丁，但是基于一些特殊的情況雅虎將保留延長(zhǎng)或者縮短披露時(shí)間的權(quán)利。