雅虎安全团队:90天不修复 漏洞细节公开


发布人:admin分类:网络安全浏览量:52发布时间:2017-11-29

CTO训练营 | 12月3-5日,深圳,是时候成为优秀的技术管理者了


雅虎安全团队开始使用与谷歌Project Zero一样的漏洞披露策略——在将漏洞信息通知受影响厂商的90天后,对外界公开漏洞细节。

雅虎安全团队:90天不修复 漏洞细节公开

科普:关于谷歌Project Zero

谷歌Project Zero团队主要由谷歌内部顶尖安全工程师组成,而他们的唯一使命就是发现、跟踪和修补全球性的软件安全漏洞,其中重点是0day漏洞。

Project Zero团队并不仅限于在谷歌自有的产品中寻找系统安全漏洞,因为他们也会在任何软件产品上寻找漏洞。在发现了某个漏洞后,该团队会对其进行曝光,并通过这种方式来鼓励相关公司与谷歌联手对付黑客。

最近几个月内,Project Zerot的研究者们从微软、苹果等公司的产品中找到了大量的漏洞。每当Project Zero发现了一个新的漏洞,他们会通知受影响的厂商。然后从发出通知的那一刻起开始计时,如果厂商在90天以内还没有对这一漏洞打上补丁,那么Project Zero就会对外公布漏洞细节。

雅虎安全团队

雅虎公司于几个月前成立了高级安全小组,由Alex Stamos任首席信息安全官,Chris Rohlf领导渗透测试小组。Rohlf负责的渗透测试团队花了很多时间对雅虎公司内部软件和雅虎公司使用的第三方软件进行测试,一旦他们发现新的漏洞,他们便会紧急修复,然后通知可能受漏洞影响的社区及US-CERT(美国电脑安全紧急回应小组)。

Rohlf在其博客中表示:

高水平的攻击者一直在挖掘并利用0day漏洞,没有任何一个产品逃脱得了。

为了保证我们系统的安全,我们的渗透测试小组一直在对我们的系统进行安全测试,试图找到所有可能存在的漏洞。我们不仅能检测到雅虎公司自己编写的软件上是否存在漏洞,还能检测到雅虎使用的第三方产品上是否也存在漏洞。

我们坚信参与安全生态圈的建设很重要,因为这样可以使更少的人受到漏洞攻击的影响。

90天不修复,漏洞细节公布

雅虎的漏洞披露策略和谷歌一样——90天不修复,漏洞细节公布。

当前有许多大型软件商、互联网公司、组织的内部就有和雅虎渗透测试团队相类似的团队,他们也在不断对自己公司系统的安全进行测试。但是,不是所有的厂商和公司都有和雅虎、谷歌一样的公开策略。

雅虎认为,三个月是漏洞披露的最佳时间上限,因为这样漏洞可以在最快的时间内被打上补丁,同时三个月的时间也足够厂商修复漏洞了。在研究人员发现漏洞后,时间就变成了核心问题,厂商的修复要与时间赛跑。

同时,雅虎承诺将公布他们在三个月内发现的漏洞信息。之所以给出的这么短的时间限制,是因为雅虎想确保这些漏洞会尽快的被打上补丁,但是基于一些特殊的情况雅虎将保留延长或者缩短披露时间的权利。

【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22008962(PV) 页面执行时间:65.374(MS)
  • xml
  • 网站地图