經(jīng)過(guò)那次事件��,谷歌似乎也有反省的姿態(tài)����。不久后���,谷歌就宣布修改Project Zero在公開漏洞方面的規(guī)定���,90天反應(yīng)期這一標(biāo)準(zhǔn)將變得更加靈活,最長(zhǎng)延長(zhǎng)期達(dá)到14天�����,條件是軟件發(fā)行商承諾能夠在這14天內(nèi)發(fā)布補(bǔ)丁���。
隨后��,谷歌也曾在安全團(tuán)隊(duì)的博客中寫道:“只有在軟件發(fā)行商嚴(yán)重超過(guò)約定期限時(shí)�,才會(huì)公開披露零日漏洞���!
事實(shí)上����,就在不久前�,谷歌就對(duì)蘋果展現(xiàn)出了“寬宏大量”的一面。今年6月�,Project Zero發(fā)現(xiàn)了蘋果MacOS及iOS系統(tǒng)核心部分漏洞,并報(bào)告給蘋果����。蘋果最初要求60天寬限期,谷歌同意了�����,雙方約定的截止日期為9月21日�。
但到了這個(gè)日期,蘋果又犯拖延癥���,谷歌再次為其延長(zhǎng)了寬限期。事實(shí)上�,時(shí)至今日,蘋果已經(jīng)獲得了將近5個(gè)月的寬限期,當(dāng)然蘋果現(xiàn)在已經(jīng)解決了這一問(wèn)題�,在剛剛過(guò)去的兩周時(shí)間內(nèi)先后發(fā)布了iOS 10.1和MacOS 10.12.1。
Project Zero公布MacOS及iOS核心漏洞
然而,最近幾天的事件似乎又讓劇情出現(xiàn)了反轉(zhuǎn)�����。
有外媒調(diào)侃道:別被谷歌逮到�����,只要給它發(fā)現(xiàn)一絲絲別人可能利用你家漏洞的機(jī)會(huì)��,你就完了����。
不過(guò),也有人認(rèn)為谷歌這么做很公平��。一位名叫Jim Shaver的IT安全專家在博客中指出���,反應(yīng)期的長(zhǎng)度一般都是根據(jù)修補(bǔ)漏洞的難度而定��,反應(yīng)期過(guò)短��,開發(fā)商根本來(lái)不及開發(fā)補(bǔ)丁�����,反應(yīng)期過(guò)長(zhǎng)��,開發(fā)商就會(huì)缺乏動(dòng)力��。
“問(wèn)題在于,如果谷歌縱容微軟���,那么90天會(huì)變成120天��、150天……事情當(dāng)然不一定會(huì)這樣發(fā)展,但很可能會(huì)讓開發(fā)商拖拖拉拉����,與此同時(shí)�����,用戶卻要為漏洞承擔(dān)風(fēng)險(xiǎn),而且渾然不知�����。”
小編推薦閱讀
