雅虎安全團隊開始使用與谷歌Project Zero一樣的漏洞披露策略——在將漏洞信息通知受影響廠商的90天后，對外界公開漏洞細節(jié)。

[[124376]]

科普：關(guān)于谷歌Project Zero

谷歌Project Zero團隊主要由谷歌內(nèi)部頂尖安全工程師組成，而他們的唯一使命就是發(fā)現(xiàn)、跟蹤和修補全球性的軟件安全漏洞，其中重點是0day漏洞。

Project Zero團隊并不僅限于在谷歌自有的產(chǎn)品中尋找系統(tǒng)安全漏洞，因為他們也會在任何軟件產(chǎn)品上尋找漏洞。在發(fā)現(xiàn)了某個漏洞后，該團隊會對其進行曝光，并通過這種方式來鼓勵相關(guān)公司與谷歌聯(lián)手對付黑客。

最近幾個月內(nèi)，Project Zerot的研究者們從微軟、蘋果等公司的產(chǎn)品中找到了大量的漏洞。每當Project Zero發(fā)現(xiàn)了一個新的漏洞，他們會通知受影響的廠商。然后從發(fā)出通知的那一刻起開始計時，如果廠商在90天以內(nèi)還沒有對這一漏洞打上補丁，那么Project Zero就會對外公布漏洞細節(jié)。

雅虎安全團隊

雅虎公司于幾個月前成立了高級安全小組，由Alex Stamos任首席信息安全官，Chris Rohlf領(lǐng)導滲透測試小組。Rohlf負責的滲透測試團隊花了很多時間對雅虎公司內(nèi)部軟件和雅虎公司使用的第三方軟件進行測試，一旦他們發(fā)現(xiàn)新的漏洞，他們便會緊急修復，然后通知可能受漏洞影響的社區(qū)及US-CERT(美國電腦安全緊急回應小組)。

Rohlf在其博客中表示：

高水平的攻擊者一直在挖掘并利用0day漏洞，沒有任何一個產(chǎn)品逃脫得了。

為了保證我們系統(tǒng)的安全，我們的滲透測試小組一直在對我們的系統(tǒng)進行安全測試，試圖找到所有可能存在的漏洞。我們不僅能檢測到雅虎公司自己編寫的軟件上是否存在漏洞，還能檢測到雅虎使用的第三方產(chǎn)品上是否也存在漏洞。

我們堅信參與安全生態(tài)圈的建設(shè)很重要，因為這樣可以使更少的人受到漏洞攻擊的影響。

90天不修復，漏洞細節(jié)公布

雅虎的漏洞披露策略和谷歌一樣——90天不修復，漏洞細節(jié)公布。

當前有許多大型軟件商、互聯(lián)網(wǎng)公司、組織的內(nèi)部就有和雅虎滲透測試團隊相類似的團隊，他們也在不斷對自己公司系統(tǒng)的安全進行測試。但是，不是所有的廠商和公司都有和雅虎、谷歌一樣的公開策略。

雅虎認為，三個月是漏洞披露的最佳時間上限，因為這樣漏洞可以在最快的時間內(nèi)被打上補丁，同時三個月的時間也足夠廠商修復漏洞了。在研究人員發(fā)現(xiàn)漏洞后，時間就變成了核心問題，廠商的修復要與時間賽跑。

同時，雅虎承諾將公布他們在三個月內(nèi)發(fā)現(xiàn)的漏洞信息。之所以給出的這么短的時間限制，是因為雅虎想確保這些漏洞會盡快的被打上補丁，但是基于一些特殊的情況雅虎將保留延長或者縮短披露時間的權(quán)利。