Google 近日宣布对软件漏洞披露项目的Project Zero期限进行微调,给予企业14天的额外宽限期,方便企业更从容地开发补丁。
而且,如果截止日期恰逢周日或公共假期,该公司会将披露计划顺延至下一个工作日。
Google 最近披露了一些流行软件的漏洞和安全问题,并由此引发了一些争议。根据Google 的政策,如果相关企业没有在漏洞被发现后90天内进行修复,该公司就将把详细信息公之于众。
Project Zero:
Project Zero是Google于2014年7月宣布的互联网安全项目,Google内部顶尖安全工程师组成的团队旨在发现、跟踪和修补全球性的软件安全漏洞,让用户可以更加惬意的享受互联网生活,同时可以放心的点击广告。 “Project Zero”所处理的安全漏洞通常都属于“零日漏洞”范畴,网络黑客或者政府有组织的黑客团队可以利用这些漏洞展开网络监听等操作。
一个月前,Google 就曾通过这一项目公布了Windows 8.1的漏洞。几天后,微软便发布了官方补丁。此后,Google 又披露了两个漏洞,但这一次却遭到了微软及其用户的齐声抗议。现在,Google 终于决定对这项政策进行微幅调整。
从现在开始,如果相关企业将补丁即将发布的消息告知Google ,Google 便可将披露计划推迟最多两个星期。该公司在官方博客中说:“我们现在制定了14天的宽限期。如果90天的截止日期即将到来,但相关企业在截止日期之前让我们知道,他们将在截止日期之后的14天内发布补丁,我们就会将漏洞公布时间推迟到补丁发布之后。现在,我们只会在补丁大幅拖延(两周以上)时,才会公开披露未修补的漏洞。”
当然,即便经过了这番修改,还是会有很多公司对Google 表示不满。Google 指出,该公司会公平对待所有漏洞。“Project Zero手中也掌握着Google 产品(Chrome和Android)的漏洞,而且也会受制于同样的截止日期。”
【点击进入“天极网企业频道”认证微博】
