4月17日,谷歌零项目安全团队更新了漏洞披露政策。披露与漏洞相关的技术细节,以防止攻击者利用漏洞进行攻击。漏洞披露政策变化最新漏洞披露政策亮点(一)“90+30”模型GoogleProjectZero最新的漏洞披露政策采用“90+30”模型,即供应商有90天开发补丁,另外30天采用补丁的天数。额外的30天将使受影响产品的用户有时间更新他们的软件。(2)特殊漏洞的额外“+3”天以前,零计划会给公司7个日历日的时间来修补任何被积极利用的漏洞(0day),然后再在线发布漏洞的详细信息。现在,除了同样适用于0day的30天缓冲期外,企业还可以在原来7天的披露期基础上再申请3天,让企业有更多的时间在某些方面打补丁。特别案例。此次政策调整的主要原因是,谷歌表示,此前一些企业曾抱怨用户应用补丁的缓冲时间不足,因为在一些复杂的企业网络中,更新软件和打补丁需要数天或数周时间。新更新的模型将应用补丁与采用补丁的时间分离,让用户有更多时间适应。但这种模式不会持续太久。谷歌表示,考虑到直接采用“60+30”或类似模式可能过于突然和混乱,他们决定采用一个大多数厂商都能持续满足的起点,然后逐步减少补丁开发和补丁采用.时间。零计划安全团队还计划在2022年采用“84+28”模式,让截止日期可以被7整除,从而降低截止日期落在周末的可能性。目前,网络安全社区中的许多人使用ProjectZero的规则作为向软件供应商和公众披露漏洞的非官方方法。通过这次更新,想必很多漏洞披露政策也会同步更新,用户可以有更多的时间来安装和适配补丁。
