时间:2015-02-26 09:19:45 来源: 复制分享
据国外媒体报道,针对微软等公司的抱怨,谷歌今天宣布放松其Project Zero项目严格的软件安全漏洞90天披露机制,表示它将给软件开发者一个为期14天的宽限期,前提是他们答应在两周的宽限期内修复漏洞。
Project Zero是谷歌于2014年7月宣布的一个互联网安全项目,旨在督促软件开发者在其软件出现安全漏洞时,及时为它们打上补丁。谷歌在公布这些漏洞前,将给予软件开发者90天的时间来修复漏洞。但微软等公司表示,严格的90天披露期限,有时候会让软件开发者在漏洞细节公布后仓促地推出修复补丁,而他们本来需要更多时间来找出一个解决方案。
谷歌Project Zero团队今天在一篇博客文章中表示:“如果90天的披露期限将到期,但厂商在截止日期到来之前通知我们,确定他们将在截止日期之后的14天内发布漏洞的修复补丁,那么我们将推迟漏洞的公开时间,直到修复补丁发布。”
该团队还表示:“只有最后期限被严重错过(同时错过了为期两周的宽限期),未被修复的安全漏洞才会被公开。”
同时,谷歌也表示将不会在周末和美国的公共假日里披露软件的安全漏洞,即使披露的最后期限在这些日子里到期。
虽然微软欢迎谷歌修改漏洞披露机制,但该公司继续反对Project Zero“修复否则我们会公开”的态度。微软安全响应中心高级总监克里斯贝茨(Chris Betz)表示:“虽然谷歌修改漏洞披露规则有积极一面,但我们不同意他们给予最后期限的这种武断的做法,因为每个软件安全问题都是独特的,它们补丁的开发和测试时间各不相同。在找到解决方案之前,漏洞发现者公开‘概念型验证病毒”(proof-of-concept exploit code)’或其它信息,会导致用户遭到攻击的危险上升。”