谷歌放宽漏洞90天披露机制：可多两周

据国外媒体报道，针对微软等公司的抱怨，谷歌今天宣布放松其Project Zero项目严格的软件安全漏洞90天披露机制，表示它将给软件开发者一个为期14天的宽限期，前提是他们答应在两周的宽限期内修复漏洞。

Project Zero是谷歌于2014年7月宣布的一个互联网安全项目，旨在督促软件开发者在其软件出现安全漏洞时，及时为它们打上补丁。谷歌在公布这些漏洞前，将给予软件开发者90天的时间来修复漏洞。但微软等公司表示，严格的90天披露期限，有时候会让软件开发者在漏洞细节公布后仓促地推出修复补丁，而他们本来需要更多时间来找出一个解决方案。

谷歌Project Zero团队今天在一篇博客文章中表示：“如果90天的披露期限将到期，但厂商在截止日期到来之前通知我们，确定他们将在截止日期之后的14天内发布漏洞的修复补丁，那么我们将推迟漏洞的公开时间，直到修复补丁发布。”

该团队还表示：“只有最后期限被严重错过（同时错过了为期两周的宽限期），未被修复的安全漏洞才会被公开。”

同时，谷歌也表示将不会在周末和美国的公共假日里披露软件的安全漏洞，即使披露的最后期限在这些日子里到期。

虽然微软欢迎谷歌修改漏洞披露机制，但该公司继续反对Project Zero“修复否则我们会公开”的态度。微软安全响应中心高级总监克里斯·贝茨(Chris Betz)表示：“虽然谷歌修改漏洞披露规则有积极一面，但我们不同意他们给予最后期限的这种武断的做法，因为每个软件安全问题都是独特的，它们补丁的开发和测试时间各不相同。在找到解决方案之前，漏洞发现者公开‘概念型验证病毒”(proof-of-concept exploit code)’或其它信息，会导致用户遭到攻击的危险上升。”

文章由深圳网站建设转载自网易科技，本文地址http://www.9tnl.com/news690.html