Facebook正式制定了通知第三方开发人员其在第三方代码和系统中发现的关键错误和漏洞的策略

2020-09-04 09:38:33

在一篇宣布这一变化的博客文章中,Facebook表示,它“可能偶尔会发现”第三方代码和系统中的关键错误和漏洞。“当这种情况发生时,我们的首要任务是看到这些问题迅速得到解决,同时确保通知受影响的人,这样他们就可以通过部署补丁或更新系统来保护自己。”

Facebook之前曾通知第三方开发者存在漏洞,但这一政策转变正式将该公司披露和披露安全漏洞的政策编成了法典。

漏洞披露计划(VDP)允许公司制定发现和披露安全漏洞的约定规则。VDP还帮助指导漏洞修复后漏洞的披露和发布。公司经常使用漏洞赏金来支付遵守公司报告和披露规则的黑客。

政策的改变并不完全是利他主义的。Facebook和许多其他科技公司一样,依赖于大量的第三方代码和开源库。但是,如果第三方开发人员没有及时修复漏洞,通过书面形式进行更改,也会引起他们的注意。

漏洞披露平台Buggroup的创始人兼首席技术官凯西·埃利斯(Casey Ellis)表示,这一政策转变正变得越来越受“以用户为中心的大型第三方攻击面”的公司欢迎,并呼应了Atlassian、谷歌和微软的类似努力。

Facebook表示,当发现漏洞时,将给第三方开发人员21天的时间做出回应,给第三方开发者90天的时间来修复问题,这是一个被广泛接受的报告和修复安全问题的时间框架。该公司表示,将做出合理努力,找到报告漏洞的正确联系人,包括但不限于,发送安全报告电子邮件,在漏洞跟踪器中提交没有机密细节的漏洞,或提交支持罚单。但该公司表示,如果该漏洞正被黑客积极利用,它保留提前披露的权利,如果它同意需要更多时间来解决问题,则推迟披露。

Facebook表示,一般不会签署针对其报告的安全问题的保密协议(NDA)。

卢塔安全公司(Luta Security)创始人凯蒂·穆苏里斯(Katie Moussouris)告诉TechCrunch,“魔鬼将在细节中”。

“这次测试将是他们第一次扣动扳机,在有缓解指导的情况下,向竞争对手投放零日,”她表示。她指的是未打补丁的漏洞,公司没有零天的时间来修补这些漏洞。

新政策特别关注Facebook如何处理第三方代码中的问题披露。如果研究人员在Facebook上或其应用系列中发现安全漏洞,他们将继续通过现有的Bug Bounty计划报告。

作为政策变化的一部分,Facebook表示,一旦漏洞得到修复,它还将披露这些漏洞。在另一篇博客文章中,拥有WhatsApp的Facebook披露了这款即时通讯应用程序中的六个漏洞-自修复以来。