导读: 谷歌的项目零公开计划应该鼓励及时发布安全补丁,但事情并没有按照计划进行。不成熟的披露、三心二意的修复和其他问题有点太常见了。不过,...
谷歌的项目零公开计划应该鼓励及时发布安全补丁,但事情并没有按照计划进行。不成熟的披露、三心二意的修复和其他问题有点太常见了。不过,该公司可能会在2020年解决其中的一些问题。它最近修改了它的政策,以鼓励更多“彻底的”安全补丁和更广泛地采用这些补丁。最值得注意的是,谷歌要等90天才能发现漏洞,即使它在最后期限之前就已经修复了。如果开发人员迅速采取行动,他们将有更多的时间来发布补丁,并确保补丁解决了缺陷的根本原因。
还有更多的改革。如果有一个不完整的修复,它将报告给开发人员并添加到现有的报告中。以前,它有时会被视为一个单独的问题,有自己的最后期限。谷歌也会在“宽限期”(如果开发者错过了90天的目标,14天的窗口期是可用的)和第90天报告漏洞被修补。
谷歌计划在整个2020年测试修订后的“零项目”方法,如果没有问题,可能会使其成为永久性的。
这将增加你的机会,你将很好地保护他们之前被公开的利用。与此同时,它也没有解决人们的担忧,即谷歌对信息披露采取的“非死即死”的方式有时会在补丁还在开发的情况下导致信息披露,要么迫使用户匆忙发布,要么让用户暴露在风险之下。你仍然会看到一些情况,你别无选择,只能承受更高的风险。