导航栏

Google提倡60天公布漏洞信息

发表于:百家争鸣 2010-08-050:12 阅读量:1,301

        据国外媒体报道,Google在线安全博客近日表示,软件开发商应该在60天内修复安全漏洞,否则安全研究员将公开漏洞信息。
  Google安全团队表示,安全界一直遵从的“漏洞披露责任”(responsible disclosure)政策并不符合最终用户的最佳利益。根据这项政策,安全漏洞信息应该被密码报告给开发商,开发商修复安全漏洞后,安全研究员才可以向公众披露漏洞信息。Google在线安全博客写道:“我们发现,很多开发商会援引‘漏洞披露责任’政策来拖延漏洞修复时间,甚至有拖延数年的情况出现。在拖延时间内,安全漏洞经常会被一些不法分子通过同样的工具和方法发现。”Tavis Ormandy是参与此次签名活动的Google员工之一。据悉,Tavis Ormandy于今年6月份向微软报告Windows XP存在的一个重大安全漏洞,5天后Ormandy便公布了漏洞分析报告和概念验证攻击代码。