互联网的安全形势越来越严峻,而软件漏洞则是网络犯罪的直接突破口。比方说,卡巴斯基近日披露的网络犯罪团伙“Carbanak”就是利用远程执行的漏洞病毒向银行职员电脑植入木马来实施盗窃,共有上百家银行被盗走了总计 10 亿美元。 因此,及时发现漏洞成为网络安全的重要基础。为此,Google 去年推出了一项名为 Project Zero 的计划。该计划会让 Google 工程师找出任何软件服务存在的所谓“0 日”漏洞(开发者无暇修补的此前未知的安全漏洞),然后给漏洞责任方 90 天的窗口时间来修复漏洞。一旦该时间过去,Google 就会启动机制自动公布该漏洞。 Google 原以为 3 个月的时间应该足以修复好漏洞,但是此前 Project Zero 两度在微软未及时修补好漏洞的情况下将其公诸于众引发了后者的不满,称这种一刀切的行为将用户置于危险的境地。也许是在这种背景下,Google 修改 了披露规则,在原有 90 天的基础上又增加了 14 天的宽限期。 在这一新规下,如果漏洞责任方主动联系 Google,并指出漏洞正在被修复但在 90 天的时间窗口内无法完成的话,Google 将会再提供 14 天的宽限期供前者给软件打好补丁。此外,针对截止日期恰逢周末或节假日的情况 Google 也会顺延。另外,Google 也指出,在极端情况下截止期限也可能提前或者拖后。 Google 并不是唯一一家披露漏洞的组织。比方说 Zero Day Initiative 以及卡内基梅隆大学的计算机紧急响应中心也有各自的漏洞披露机制。前者给修复者的时间较为宽松,可以有 120 天,而后者对于修复者来说就是唐僧的紧箍咒了,只有 45 天。Google 在这当中的时间应该是适中的。当然,时间定多长似乎并没有一个理想的固定期限,因为漏洞披露应该是越短越好,而漏洞修复视具体情况需要不同的时间。 |