谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
作者: 安华金和
谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知,但也因为严格的快速披露政策而遭到了行业内的批评。
于是 2020 年的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整 90 天。即便如此,谷歌还是对过去五年的政策表现感到满意,指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。
相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。
那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。
若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。
- 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情;
- 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情!
当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。
现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。
然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。
改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。
最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。
来源:cnBeta.COM
更多资讯
报告:虚拟货币诈骗人均损失超13万 杀猪盘成高频诈骗手段
基于360猎网平台2019年收到的近两万条有效诈骗举报,360企业安全集团、360猎网平台发布了《2019年网络诈骗趋势研究报告》(以下简称报告)。
报告显示虚拟货币带来的诈骗已经成为金融诈骗的主流,造成人均损失超过13万元;而杀猪盘则是近年来高发的网络诈骗手段。
来源:凤凰网科技
详情链接:https://www.dbsec.cn/blog/article/5700.html
Chrome 将以更“安静”的方式来替代通知弹窗
如今,用户即使不与网站交互也能够收到消息。
也正因如此,越来越多的网站会在用户访问时发送请求订阅的弹窗,这一功能导致不良的用户体验,遭致人们的抱怨。
为了解决该问题,Google 宣布,从 Chrome 80 版本开始,将以一种更“安静”的通知权限 UI 来取代现有的弹窗形式,以减少通知权限请求的干扰。
来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/5701.html
工信部通报第二批侵害用户权益 App 瑞幸拉勾天涯等在列
今日,工信部发布了第二批侵害用户权益行为APP名单。
工信部称,上述 APP 应在 2020 年 1 月 17 日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。
来源:工信部网站
详情链接:https://www.dbsec.cn/blog/article/5702.html
超 500 万台新手机被植入木马病毒?涉及 31 省市、超 4500 种机型
在网络上有些人专门搜集各类商家的优惠信息,注册后领取各类优惠券、奖励金。
人们把这种行为称为“薅羊毛”。要想“薅羊毛”,就要注册,注册就需要手机号和验证码。
在利益的驱动下,有人开始对手机动起了“歪脑筋”。
来源:经济半小时
详情链接:https://www.dbsec.cn/blog/article/5703.html
(信息来源于网络,安华金和搜集整理)