4月17日，谷歌Project Zero安全團(tuán)隊(duì)更新了漏洞披露政策，這次更新將會(huì)為用戶新增30天時(shí)間來(lái)進(jìn)行漏洞修補(bǔ)，然后再披露漏洞相關(guān)技術(shù)細(xì)節(jié)以避免攻擊者利用漏洞進(jìn)行攻擊。

漏洞披露政策變化

最新漏洞披露政策亮點(diǎn)

(1) “90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式，即供應(yīng)商有90天時(shí)間進(jìn)行補(bǔ)丁開發(fā)，另外還有30天時(shí)間來(lái)進(jìn)行補(bǔ)丁采用。額外增加的 30 天時(shí)間能夠讓受影響產(chǎn)品的用戶有時(shí)間更新他們的軟件。

(2) 特殊漏洞，額外“+3”天

此前，Project Zero會(huì)給公司 7 個(gè)自然日的時(shí)間來(lái)修補(bǔ)任何被主動(dòng)利用的漏洞(0day)，然后才會(huì)在網(wǎng)上公布該漏洞的詳細(xì)信息。

現(xiàn)在，0day除了同樣適用于30天的緩沖期外，公司還可以在原來(lái)的7天披露期限上再申請(qǐng)?jiān)黾?天，以便在一些特殊情況下，給公司更多的時(shí)間來(lái)創(chuàng)建補(bǔ)丁。

政策調(diào)整主要原因

谷歌表示，此前曾有公司抱怨用戶應(yīng)用補(bǔ)丁時(shí)缺乏足夠的緩沖時(shí)間，因?yàn)樵谝恍?fù)雜的企業(yè)網(wǎng)絡(luò)中，更新軟件打補(bǔ)丁需要幾天或幾周的時(shí)間。新更新的模式將打補(bǔ)丁的時(shí)間和采用補(bǔ)丁的時(shí)間脫鉤，為用戶提供了更多的時(shí)間去適應(yīng)。

不過(guò)這個(gè)模式并不會(huì)持續(xù)很長(zhǎng)時(shí)間。谷歌表示，因?yàn)榭紤]到如果直接采用“60+30”或者類似的模式，可能會(huì)太過(guò)突然和混亂，所以他們決定采用一個(gè)大多數(shù)廠商可以持續(xù)滿足的起點(diǎn)，然后逐步降低補(bǔ)丁開發(fā)和補(bǔ)丁采用的時(shí)間。

Project Zero安全團(tuán)隊(duì)還計(jì)劃在2022年采用“84+28”的模式，即能夠讓截止日期被7整除，從而降低截止日期在周末的可能性。

目前，網(wǎng)絡(luò)安全社區(qū)的很多人都采用Project Zero的規(guī)則來(lái)作為向軟件供應(yīng)商以及公眾披露漏洞的非官方方案。隨著此次更新，想必眾多漏洞披露政策也會(huì)進(jìn)行同步更新，用戶可以擁有更多的時(shí)間去安裝和適應(yīng)補(bǔ)丁。