谷歌Project Zero 团队更新了漏洞披露规则,即不管漏洞是否修复,都会在漏洞发现之日起90天后公开详情。这意味着不管漏洞是在发现后的第20天还是第120天修复的,都会在满90天时发布漏洞详情。更值得注意的一点是,ProjectZero 团队表示,即使在未到90天期限时补丁已修复,但仍然会等到90天期限结束后才发布补丁详情。该团队的研究员Tim Willis 表示,这么做的原因是为了确保修复方案是全面彻底的,而不是为了赶工匆匆开发的。这样做是为了避免补丁不完整引发攻击者利用弱点。Willis 在博客文章中表示,“五年来,团队的漏洞披露策略都集中在一个目标上:更快的补丁开发。如果花很长时间才开发并部署补丁,那么我们就很快就会落伍:引入的漏洞数量更多并超过供应商的修复能力,因此需要付出更多的努力才能使事情恢复正常。”然而,“太多次,我们发现供应商就只是像在裂缝上糊一张纸那样修复了报告的漏洞,而不会考虑漏洞变体或尝试解决漏洞的根因。”他补充道,“我们担心更快的补丁开发策略可能会加剧这个问题,使攻击者能够重新激活exploit 并毫不费力地实施攻击。”这种改变还可使供应商能够拥有更多的时间在漏洞公开之前从容不迫地向受影响合作伙伴和客户推出补丁。Willis表示,从理论上来讲,它能够改进补丁部署并减少网络犯罪分子公开利用已披露漏洞的窗口期。和2019年相比,2020年漏洞披露规则(试验阶段)的变化如下:
至于此举是否是正确的,漏洞搜寻研究员对此举表示赞赏。StackRox 公司的高级DevOps 工程师 JoshKomoroske 表示,“在披露时间轴中拥有额外的喘息空间将提高补丁质量,因为拥有了更多时间来完整地分析该漏洞。在公开披露之前提高修复方案的应用也大有裨益。希望这些变化能够实现这种良好作用并改进整体的生态系统。”HackerOne 平台的首席技术官兼联合创始人 Alex Rice 表示,“其中涉及的利害较为复杂,对现实世界产生深远影响。不存在简单的或完美的漏洞披露策略。看到这个领域的领路人如Project Zero 等继续保持一种持续改进的心态令人鼓舞。我们将密切关注这项新策略在2020年的表现。”而Bugcrowd 公司的首席技术官、创始人兼总裁认为此举是“一项创新”。他指出,“考虑到将补丁完全部署到用户方所需的时间,即使在供应商能够快速修复该 bug 的情况下,Project Zero 的策略和漏洞披露更新是一种坚定的让步。这种正向压力对于漏洞查找和修复而言是一件好事,而这正是谷歌试图通过其测量进行优化的点。创建有效的补丁开发同时避免匆忙推出是Project Zero 的目标,谷歌通过激励开发人员优先考虑安全的方法让该行业向前发展。该策略延迟披露通知是明智之举,在降低匆忙开发补丁动机的同时,反过来减少了因研究成果而导致的不良安全结果的可能性。”他补充道,“这无疑是对标准协调漏洞披露(CVD) 做法的一种创新更新,我们乐于看到该策略更新在新一年中的成功情况。”
该策略适用于从2020年1月1日起找到的漏洞,值得注意的是该更新只是出于试验阶段;Willis表示谷歌将在2020年年底决定是否永久性做出这个改变。Project Zero 团队发布的90天披露期限已存在一段时间了,它意味着如果受影响供应商无法在90天期限内修复漏洞,或者要求延期(Project Zero 团队允许请求延期15天),那么将在90天之后发布漏洞详情。Willis表示这一规定成为打补丁的激励措施:大约98%的企业漏洞报告都在90天的窗口期内修复,而在2015年该策略未颁布之前,这一数字最多为6个月。谷歌的目的是标准化其程序,但一名研究人员表示,漏洞披露时间线策略应该足够灵活,应该考虑到某些漏洞对客户产生的具体风险程度。Thycotic 公司的首席安全科学家Joseph Carson指出,“有时候我们过于关注供应商,而对客户关注甚少;负责任的披露应该优先考虑将漏洞通知给客户以降低风险,或者通过公开漏洞的方式告知他们风险的存在(利用安全加固措施降低风险),或者通过提供供应商补丁的方式。修复系统中存在的困难程度也应该被考虑进去,原因是即使漏洞被公开披露,但在更长的时间内(甚至数年时间内)多数系统仍然未修复。负责任的披露在今天而言太过于宽泛,真的需要以客户为本。”
https://threatpost.com/google-ditches-patch-disclosure-90-day-policy/151626/
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 多多~