在项目零时,我们花了很多时间讨论和评估漏洞披露政策以及对更广泛行业的用户,供应商,同胞安全研究人员和软件安全规范的影响。我们的目标是成为一个漏洞的研究团队,使每个人都在整个生态系统上工作,以帮助制定0天。
我们仍然致力于调整我们的政策和实践,以最佳实现我们的使命,在去年年初展示了我们的2020年的政策和披露审判。
作为我们年度最终审查的一部分,我们评估了我们的政策目标,从收到大部分报告的人中征求意见,并为2021年决定了我们的方法。
从今天开始,我们'重新改变我们的披露政策来重新聚焦,减少漏洞所需的时间来修复,改善披露时间范围的当前行业基准,以及在发布技术细节时更改。
简短的版本:项目零赢得'如果供应商在90天或7天截止日期之前修补它,那么在30天内分享漏洞的技术细节。 30天的时间适用于用户补丁采用。
公开泄露在初始漏洞报告后90天发生,无论错误都是固定的。技术细节(初始报告加上任何其他工作)都在第90天发布。允许14天的宽限期*。早先披露相互协议。
披露截止日期为90天。如果90天后发出问题仍未被禁止,请立即发布技术细节。如果问题在90天内修复,请在修复后30天发布技术详细信息。允许14天的宽限期*。早先披露相互协议。
对于积极利用的漏洞,对用户进行积极利用,公开披露发生了初始漏洞报告后7天,无论错误都是固定的。在野外漏洞不提供宽限期*早些时候披露相互协议。
披露7天的截止日期,以便在野外反对用户中积极剥离。如果在7天后发出问题,请立即发布技术详细信息。如果问题在7天内修复,请在修复后30天发布技术详细信息。供应商可以为野外错误申请3天的宽限期*。早先披露相互协议。
在宽限期下修补漏洞*时立即发布技术详细信息。 (例如,在宽限期的第100天修补,第100天披露)
如果授予宽限期*,它将使用30天补丁采用期的一部分。 (例如,在宽限期的第100天修补,第120天披露)
2.如果项目归零发现先前报告的项目零BUG的变体,则将添加到现有的项目零报告(可能已经是公开的项目)的技术细节,并且该报告不会收到新的截止日期。
3.如果错过了90天的截止日期,除非要求宽限期*在截止日期之前提出并确认宽限期*,否则将在第90天公开提供技术细节。
4.如果错过了7天的截止日期,除非在截止日期之前要求并确认宽限期*,否则将在第7天公开提供技术细节。
*宽限期是一个额外的14天,供应商如果不希望报告的漏洞将在90天内修复,但确实预期它会在104天内修复。宽限期不会被授予漏洞,这些漏洞预计需要超过104天来修复。对于在7天的截止日期下积极开发和报告的漏洞,宽限期是一个额外的3天,供应商可以要求他们不希望在7天内修复报告的漏洞,但确实期待它修复了10天内。
正如我们去年讨论的那样,#39; S"政策和披露:2020版"我们的三个漏洞披露政策目标是:
更快的修补程序开发:缩短错误报告与用户提供的修复程序之间的时间。
改进的补丁采用:缩短释放补丁和安装它的用户之间的时间。
我们的政策审判2020年旨在平衡所有三个目标,同时保持我们的政策一致,简单,公平。供应商90天才能完成补丁开发和补丁采用的完整循环。这个想法是如果供应商想要更多时间来安装补丁,他们将在90天周期而不是稍后的90天周期之前优先顺序修复修复。
然而,在实践中,我们没有观察到补丁开发时间表的重大转变,我们继续接收供应商的反馈,他们关注的是在大多数用户安装补丁之前公开发布有关漏洞和利用的技术细节。换句话说,补丁采用的隐含时间表是清楚地理解的。
我们的2021年政策更新的目标是使补丁采用时间表成为我们漏洞披露政策的明确部分。供应商现在将有90天的补丁开发,以及补丁采用的30天。
这90 + 30 + 30策略提供了比我们目前的政策更多的时间,因为直接跳到60 + 30的政策(或类似)可能会过于突然和破坏性。我们的偏好是选择大多数供应商可以一致地满足的起点,然后逐渐降低补丁开发和补丁采用时间表。
例如,基于我们当前的数据跟踪漏洞补丁时间,它可能会搬到A" 84 + 28" 2022年的型号(截止日期均可依赖于7,明显减少了我们截止日期落在周末的机会)。除此之外,我们将密切关注数据,并继续鼓励创新和投资错误分类,补丁开发,测试和更新基础设施。
关于漏洞泄露的大部分争论均赶上迅速释放技术细节是否有利于攻击者或捍卫者的问题。从我们的时间在防守社区中,我们看到了先见的技术细节的开放和及时分享有助于保护用户在互联网上保护用户。但我们还听取了更多可见的别人的担忧。机会主义"攻击可能来自迅速发布技术细节。
我们继续认为,对项目零的防御群落的益处零' S出版物的出版物超过了披露的风险,但我们愿意将反馈纳入我们的政策,以获得用户安全最佳结果的利益。 。安全研究人员需要能够与供应商和开源项目密切合作,以及关于技术漏洞细节或概念验证漏洞的风险和益处的加热讨论是一个重要的障碍。
虽然90 + 30个政策将迅速释放技术细节的角度略有回归,但我们也向我们发出意图缩短了不久的将来的90天披露截止日期。我们预计在未来几年内慢慢减少贴片时间并加快补丁采用,直到达到稳定状态。
最后,我们理解,这种变化将使防守社区更加困难,以便快速执行自己的风险评估,优先考虑补丁部署,测试补丁效能,快速查找变体,部署可用缓解以及开发检测签名。我们'重新感兴趣的是听到项目零和#39;我们被用于防御目的的出版物,我们鼓励用户向供应商/供应商询问可行的技术细节,以便在安全咨询中分享。
搬到一个" 90 + 30"模型允许我们将时间与补丁采用时间分离,减少攻击者/后卫的争议辩论和技术细节的共享,同时倡导减少最终用户易受已知攻击的时间。
披露政策是一个复杂的主题,可以制作许多权衡,而这是一个容易决定的。 我们很乐观,我们的2021年政策和披露审判为未来奠定了良好的基础,并享有促进奖励的平衡,这将导致对用户安全的积极改进。