Google及其政策可能或多或少像我們一樣。 但是,如果我認為有些事情值得批評,那就是他的 Zero項目,負責調查各種軟件以發現安全漏洞的團隊。 這個項目的問題不是它進行了調查,而是給公司施加壓力,要求它們幾乎立即發布這些錯誤來修復它們。 但是,如果您已經註意到,則我們使用的是過去時。
谷歌 已發表 您的新政策會是什麼樣子。 直到現在,偉大的求職者的公司(讓我使用它的表達方式)做到了“他們想要的一切”,過去常常轉化為發現錯誤(哎呀,來自競爭對手的公司,而不是像 這是 (他們確實關閉了),然後將其傳達給感興趣的一方,並在幾小時或幾天之內發布了所有數據。 從現在開始,他們將給三個月,或者 90天 更確切地說,開發人員有時間修復該問題。 在這段時間之後,他們將發布所有詳細信息。
零計劃放鬆
僅在兩家公司(Google和軟件開發商)達成協議的情況下,詳細信息才會在上述90天內發布。 如果沒有協議,則在1、20或90天內解決故障都沒有關係; 谷歌 三個月後將發布詳細信息.
零計劃說 一些開發人員已聯繫他們,要求更多時間,因為三個月可能還不夠,但是Google認為這是沒有必要的。 此外,匆忙的工作將激勵他們修復發現的錯誤,這也意味著這些安全問題已被更正,然後再找到下一個。
就個人而言,我認為這對每個人都是個好消息。 找到一個錯誤並儘快發布它是一個非常醜陋的動作,因為唯一或受影響最大的是 我們開始使用至少具有一個公共漏洞的軟件。 更改將在我們剛輸入的年份進行。