4月14日,谷歌正式公布了一系列舉措,專門針對目前漏洞管理生態系統的不足,出臺一些更透明度的制度和措施。

谷歌曾在一份公告中提到,零日漏洞作為頭條新聞的“常客”,風險性確實是比較大的。即使我們一發現漏洞就立刻修復,它的風險仍然存在,而且可能出現的風險包括OEM采用的滯后時間、補丁測試的痛點、終端用戶的更新問題等各個方面,所以如何去改善這件事,真的是個非常現實的問題。

不僅如此,安全威脅還可能來自于供應商應用不完整的補丁。有時候一些實驗室和研究機構外部的零日漏洞有很大一部分會直接變成以前打過補丁的漏洞的“升級版本”。如果想要減輕此類風險,必須要從漏洞的根源解決問題。而在這個解決過程中,要優先考慮現代安全軟件開發實踐的情況,這樣就能更好的消除所有同類型的威脅,同時還能阻止潛在的攻擊路徑。

基于上述因素,谷歌表示目前正在組建一個黑客政策委員會,該委員會將會確立新的政策和法規。同時,谷歌進一步強調,后面如果再出現某產品系列的漏洞被人利用的情況出現,掌握證據后,會直接將調查事件結果進行公開披露。

這家科技巨頭表示,它還在籌備設立一個安全研究法律辯護基金,專為從事正向研究的優秀個人提供種子資金,以更好的促進網絡安全問題的宣傳,從而更好的發現安全問題并更加及時地報告漏洞信息。

谷歌最新的安全計劃表明,如果想要漏洞不輕易被利用,那么就要加速已知漏洞的補丁應用,制定有針對性的政策,并且讓用戶及時了解這些訊息,以最大程度的確保產品的生命周期。另外,安全計劃中還強調了在軟件開發生命周期的任何階段,應用設計安全原則都十分重要。

在公開宣布這一消息之后,谷歌還推出了一項名為deps.dev API的免費API服務,可以向人們提供對Go、Maven、PyPI、npm和Cargo存儲庫中約500萬個開源包中,共計約5000多萬個版本的安全元數據和依賴性信息訪問的服務,從而確保軟件供應鏈的安全性。

同時,谷歌的云計算部門也宣布將為Java和Python生態系統提供開源軟件(Assured OSS)服務,以保證該系統的普遍可用性。

網絡安全 黑客 軟件 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接