您的位置首页>IT>

零项目团队概述了2021年的变化

导读 Project Zero 是 Google 的一个安全研究团队,他们花时间讨论和评估漏洞披露政策以及这些政策对用户、供应商、安全研究人员和软件安全

Project Zero 是 Google 的一个安全研究团队,他们花时间讨论和评估漏洞披露政策以及这些政策对用户、供应商、安全研究人员和软件安全的影响。该团队表示,它希望成为一组研究人员,让整个生态系统中的每个人都受益,帮助使零日攻击更加困难。零项目已发布将影响 2021 年的变化摘要。

简而言之,如果供应商在 90 天或 7 天截止日期之前修补漏洞,零项目将不会在 30 天内分享该漏洞的技术细节。30 天期限旨在允许用户采用补丁。该团队表示,如果问题在 90 天后仍未修复,将立即发布技术细节。可以在双方同意的情况下提前披露。

零项目表示,对于在野外被积极利用以攻击用户的问题,将规定 7 天的披露期限。如果问题在 7 天后仍未修复,将立即发布技术细节。如果问题在 7 天内得到修复,技术细节将在修复可用 30 天后发布。

研究人员将允许供应商请求 30 天的宽限期来处理野外漏洞。如果双方同意,可以提前披露。如果零项目授予宽限期,该宽限期将使用 30 天补丁采用期的一部分。这意味着在第 100 天修补问题,增加宽限期将意味着在第 120 天披露。

2021 年的一些元素确实会从 2020 年延续下来。政策目标包括更快的补丁开发、彻底的补丁开发和改进补丁的采用。当发现先前报告的错误的变体时,该变体的技术细节将添加到现有的零项目报告中,该报告可能已经公开,没有授予新的截止日期。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。