Project Zero 披露政策变更让供应商尽早收到通知

快速阅读: 据《网络独家新闻》称，谷歌调整漏洞披露政策，将在报告后一周内公开信息，以缩短补丁发布与安装时间差。Project Zero将提供漏洞详情，促进安全修复。

据谷歌官方消息，本周，谷歌调整了其公开披露漏洞的方式，旨在提前向防御者提供新发现的软件缺陷详情，以缩短供应商发布补丁与客户安装安全更新之间的时间差。谷歌的“零日漏洞项目”（Project Zero）是一支专门负责发现和研究零日漏洞的安全研究团队。现在，该项目将在向供应商报告漏洞后的一周内，公开发布相关漏洞信息。

谷歌表示，这些报告将包括受影响的产品、负责该软件或硬件的供应商或开源项目的名称、报告提交的日期以及90天披露期限的截止日期。谷歌的新政策旨在应对漏洞管理中的一个长期难题，即从漏洞发现到披露，再到补丁发布和采用的时间周期较长。

Project Zero负责人蒂姆·威利斯（Tim Willis）在博客文章中解释说，这种延迟被称为“上游补丁缺口”，指的是上游供应商已有修复方案，但下游依赖方尚未将其集成到最终产品中，导致漏洞的生命周期延长。谷歌希望通过这一政策变化，对未修复的漏洞施加更多公众压力，促进上游供应商与下游客户之间的沟通，加快补丁的开发和采用速度。

威利斯表示，这项政策不会帮助攻击者，而是为了推动行业内的透明度和安全性。他指出，这些数据将有助于研究人员和公众更好地追踪从首次报告到最终修复的时间线。

Project Zero将继续执行90+30披露期限政策，即给予供应商90天时间修复漏洞，之后再进行公开披露，并给予客户30天时间安装补丁。如果供应商在90天内解决了漏洞，客户安装补丁的30天期限便开始生效；如果供应商未能按时发布补丁，Project Zero将公开漏洞详情。在截止日期前，对已发现漏洞的早期报告将不包含技术细节、概念验证代码或其他可能帮助攻击者的信息。

零日漏洞一直是防御者面临的主要威胁，对企业和关键基础设施构成严重风险。谷歌威胁情报小组数据显示，去年共发现75个被实际利用的零日漏洞，涉及多种技术和设备。Mandiant在4月发布的年度M-Trends报告中指出，2024年最受利用的四个漏洞中有三个出现在边缘设备中，最初被作为零日漏洞利用。

Project Zero的研究人员将密切监控这一政策变化对其公开披露新发现漏洞的影响，希望最终实现其目标——创建一个更安全的生态系统，确保漏洞不仅在上游代码库中得到修复，也在日常使用的设备、系统和服务上得到修复。

(以上内容均由Ai生成)