Google安全研究团队Project Zero公布,从2020年1月1日开始调整漏洞披露政策,过去Project Zero的90天漏洞披露政策,在90天内,一旦漏洞修补完成,Project Zero便会公开漏洞细节,但是从今年开始,无论漏洞是在通报后的第20天还是第90天后修复,都会在第90天的时候披露细节。
Project Zero政策的漏洞揭漏期限是90天,有鉴于假期或是CVE指派等原因,Google在2015年时松绑了披露政策,当软件开发商来不及在90天内修补漏洞,还可以申请14天的宽限期,延长披露时限。Google提到,之所以制定漏洞披露政策,便是要促使软件开发商可以更快地开发补丁,让零时差攻击成本上升。
而要完成这一点,Google认为,除了发现与回应大量的安全漏洞之外,更快地开发修补程序与部署修补程序都非常重要,因为当修补程序需要花费长时间开发和部署,便可能让有心人,有更多的时间利用漏洞进行攻击,而且许多时候,Project Zero团队发现的漏洞,早就已经被利用来攻击用户,因此软件开发商也有压力,需要更快速地解决问题。
90天披露政策实施以来,的确加速了漏洞修补的速度。在2014年时,有一些问题需要长达六个月才能修复,但是到了2019年,有97.7%的问题都在时限内被解决。在2020年,Google除了要继续追求更快的补丁开发速度之外,还订立了两个新目标,第一是更全面的补丁开发以及改进补丁程序的部署。
Project Zero提到,他们看到太多次,软件开发商都仅是隐藏漏洞,而非从根本上解决漏洞,恶意人士只要稍微改变攻击手法,同样能利用该零时差漏洞进行攻击,因此Google认为,一味的追求快速补丁开发,会加剧这个问题,另外,发现漏洞且软件开发商修复漏洞两件事,都还无法真正提升用户安全性,只有当补丁确实部署到用户设备时,安全性才会有所改善,因此改进补丁部署进程,才能确实让漏洞修复工作保护用户。
有鉴于此,Project Zero从2020年1月1日开始更改漏洞披露政策,无论软件开发商在90天内的任一天完成漏洞修补,Project Zero仍会等到第90天才公布漏洞细节,要是软件开发商与Project Zero完成共识,还是能够提早公开漏洞报告。
由于部分软件开发商认为,当补丁在大量部署之前就披露漏洞,反而会危害用户安全,Google提到,即便他们不认同这样的说法,但是基于希望有更多软件供应商,能够更积极地开发漏洞补丁,因此调整漏洞披露政策,提供软件开发商完整的90天漏洞修复时间,当补丁越快被开发出来,则补丁便有越多的部署时间,借此鼓励软件开发商加速修补漏洞的进程,并且不是只做表面功夫。