Google及其政策可能或多或少像我们一样。 但是,如果我认为有些事情令人反感,那是他的 Zero项目,负责调查各种软件以发现安全漏洞的团队。 这个项目的问题不是它进行了调查,而是给公司施加压力,要求它们几乎立即发布这些错误来修复它们。 但是,如果您已经注意到,我们正在使用过去时。
谷歌 已发表 您的新政策会是什么样子。 直到现在,伟大求职者的公司,让我使用的表达方式,是“随心所欲”的,这通常会转化为发现错误(哎呀,来自竞争对手的公司,而不是像 这是 (确实要关闭),他们将其传达给了感兴趣的一方,并在几小时或几天之内发布了所有数据。 从现在开始,他们将给三个月,或者 90天 更确切地说,开发人员有时间修复该问题。 在那之后,他们将发布所有详细信息。
零计划放松
仅在两家公司(Google和软件开发商)达成协议的情况下,详细信息才会在上述90天内发布。 如果没有协议,则在1、20或90天内解决故障都没有关系; 谷歌 三个月后将发布详细信息.
零计划说 一些开发人员已经联系他们,要求更多时间,因为三个月可能还不够,但是Google认为这是没有必要的。 此外,匆忙的工作将激励他们修复发现的错误,这也意味着这些安全问题在找到下一个漏洞之前已得到纠正。
就个人而言,我认为这对每个人都是个好消息。 找到一个错误并尽快发布它是一个非常丑陋的动作,因为唯一或受影响最大的是 我们开始使用至少具有一个公共漏洞的软件。 更改将在我们刚输入的年份进行。