谷歌旗下安全实验室称超过95.8%的安全漏洞都在90天的披露期内修复

谷歌旗下知名的安全实验室Google Project Zero 经常会披露各种操作系统、软件以及硬件方面的安全漏洞。

例如该安全实验性此前因为披露Windows 10未修复的漏洞而被微软抨击,不过总体来说多数漏洞及时修复。

因为按照谷歌规则如果漏洞在 90 天内未修复,漏洞的相关细节就会公开 ,  以此来敦促开发商赶紧进行修复。

当然也有些额外的情况例如英特尔处理器的幽灵熔断漏洞,此类漏洞危害较大所以谷歌会给予更长的宽限期。

谷歌旗下安全实验室称超过95.8%的安全漏洞都在90天的披露期内修复

95.8%的安全漏洞被及时修复:

谷歌安全实验室表示自实验室创立以来合计共向软件和硬件开发商报告 1585 个安全漏洞多且多数得到修复。

诸如Windows 10等部分漏洞由于没有及时而被谷歌公开 , 谷歌表示此类漏洞细节公开的情况仅仅只有66份。

也就说95.83% 的漏洞都能在披露期公布前被修复,在被修复后漏洞细节公开造成的危害相对来说就会降低。

实际上也有漏洞在宽限期内修复的:

大量的漏洞都在谷歌指定的时间内被妥善修复 ,不过这里指定的时间并非固定的 90 天,而是还包括宽限期。

谷歌称在 90 天正常披露时间内被修复的漏洞有1224个,有174个安全漏洞在谷歌给予的14天宽限期内修复。

然而还有36个安全漏洞直接没有任何安全补丁而被公开,  这些漏洞或是开发商倒闭或是产品已经被终止服务。

这些安全漏洞也永远不会再获得任何更新以及修复,对于用户来说此类漏洞的危害远比超期修复的漏洞更大。

有批评但谷歌认为披露是值得的:

谷歌最近正在庆祝其安全实验室成立满五周年 ,  Google Project Zero最初是在2014年的7月17日正式成立。

在谷歌前其实已经有很多安全实验室以及独立的安全研究人员,不过在做法上其实安全研究人员处于弱势的。

例如西部数据曾多次出现研究人员报告漏洞不修复的情况最后逼研究人员公开漏洞西部数据才着手修复等

因此谷歌的做法是不管开发商修还是不修 ,  漏洞就在那里,超过 90 天不修复漏洞被自动公开没有弥补机会。

对于开发商来说被爆出安全事件自然会有损名声,所以这种自动披露漏洞的做法也倒逼开发商必须及时修复。

谷歌认为有时候披露未被修复漏洞确实引来外界批评,不过谷歌也认为这种披露是值得的未来也不会再改变。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    能不能再快点儿?

发表评论