脸书昨(3)日宣布更新开发商政策,未来发现平台上第三方软件有漏洞会主动告知,并设下90天不补就会公告的期限。
脸书内部有漏洞检查工具,像是Zoncolan或脸书8月开源的Pysa来检查平台上众多第三方应用程序。脸书指出,他们偶尔会在第三方程式代码和系统,包括开源软件中发现重大安全漏洞或bug。当发现bug或漏洞时,他们希望厂商快点部署修补程序或更新系统,以解决问题,同时通知受影响的用户。
脸书了解漏洞修补有轻重缓急,往往需要脸书和厂商/开发商的合作,因此在更新的漏洞披露政策中,脸书清楚说明对修补漏洞的期望,并表示未来将公布漏洞。
脸书表示,未来发现第三方软件或系统有漏洞后会告知开发商。他们希望开发商在21天内做出回应,告知有什么缓解决方案法来保护用户。如果21天内没有回应,脸书就保留漏洞披露权利。90天内若开发商没有告知修补漏洞或更新,脸书就会公布漏洞细节。
披露漏洞时,脸书将对大众公开信息、也可能直接通知受影响的用户,并先后发布精简及完整版信息。
期限从脸书发出通知时起算。脸书表示会提供漏洞描述,必要时会提供进一步信息,并遵守披露的步骤和时间表。但是如果脸书判定漏洞的安全风险重大,像是已经发生网络攻击,或是已有修补程序,但开发商没必要延迟部署,脸书也可能提前披露。但是如果该项目需要更长作业时间,脸书说必要时也会延后披露进程。
脸书并表示一般情形下,该公司拒绝针对其通报的特定安全漏洞签订保密协议。
为了执行新做法,脸书要求第三方软件开发商提供联系窗口,以便脸书发现漏洞时发送电子邮件,并提交bug通报,此人也必须确认收到脸书通知,并说明脸书提供的信息是否充足。之后漏洞修补进度也以该窗口通知为准。
但是如果开发商发现的是脸书或其他软件的漏洞,脸书也鼓励他们通过漏洞挖掘方案通报。
最新做法使脸书在安全上扮演更积极角色。近年Google的Project Zero已经披露多项重大漏洞,而Google也因为90天缄默期的严格执行,数次和微软发生过互揭漏洞的情形。不过Google表示96%的漏洞,都可在90天内修补完成。