4月14日,谷歌正式公布了一系列举措,专门针对目前漏洞管理生态系统的不足,出台一些更透明度的制度和措施。
谷歌曾在一份公告中提到,零日漏洞作为头条新闻的“常客”,风险性确实是比较大的。即使我们一发现漏洞就立刻修复,它的风险仍然存在,而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面,所以如何去改善这件事,真的是个非常现实的问题。
不仅如此,安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险,必须要从漏洞的根源解决问题。而在这个解决过程中,要优先考虑现代安全软件开发实践的情况,这样就能更好的消除所有同类型的威胁,同时还能阻止潜在的攻击路径。
基于上述因素,谷歌表示目前正在组建一个黑客政策委员会,该委员会将会确立新的政策和法规。同时,谷歌进一步强调,后面如果再出现某产品系列的漏洞被人利用的情况出现,掌握证据后,会直接将调查事件结果进行公开披露。
这家科技巨头表示,它还在筹备设立一个安全研究法律辩护基金,专为从事正向研究的优异个人提供种子资金,以更好的促进网络安全问题的宣传,从而更好的发现安全问题并更加及时地报告漏洞信息。
谷歌最新的安全计划表明,如果想要漏洞不轻易被利用,那么就要加速已知漏洞的补丁应用,制定有针对性的政策,并且让用户及时了解这些讯息,以最大程度的确保产品的生命周期。另外,安全计划中还强调了在软件开发生命周期的任何阶段,应用设计安全原则都十分重要。
在公开宣布这一消息之后,谷歌还推出了一项名为deps.dev API的免费API服务,可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中,共计约5000多万个版本的安全元数据和依赖性信息访问的服务,从而确保软件供应链的安全性。
同时,谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件(Assured OSS)服务,以保证该系统的普遍可用性。
文章来自:https://www.freebuf.com/