Google Project Zero definition:
谷歌Project Zero is a security谷歌公司内研究股.
The role of The Project Zero team is前景特别软件产品,包括萨谷歌的合作等等。当研究小组discove和验证一个漏洞的存在,团队悄然向公司报告bug respoible软件和给公司90天来解决这个问题。
如果漏洞没有固定后90天,Project Zero团队自动发布错误的信息,并为公众提供样本攻击代码。90天的公开政策的目的是鼓励公司及时解决问题之前attacke发现相同的脆弱性和利用它。自动化的信息披露政策的批评者问为什么谷歌Project Zero团队监管第三方产品。他们也怀疑Project Zero团队迅速披露漏洞在谷歌产品发布信息的第三方软件bug。Project Zero的支持者认为,公众利益的安全研究和谷歌有respoibility研究软件产品,可能是一起使用与谷歌产品。谷歌向公众宣布存在Project Zero 7月15日,2014年。
2015年2月,Project Zero披露政策调整后,无意中造成controvey安全社区内通过自动披露Windows 8的安全缺陷,过去了* notifed谷歌they had Microsoft补丁版本均为about to the code to fix其间。修订后的Project Zero政策允许人类干预和扩展信息披露14额外工作日只要供应商通知谷歌一个补丁发布于14天的宽限期内的特定的一天。该小组还宣布将开始分配每个漏洞一个独特的CVE标识符。代CVE-IDs vendo,网络administrato和其他利害关系方可以从许多来源收集信息,确保所有信息特定CVE-ID地址相同的弱点。
最近更新时间:2015-11-30 EN
相关推荐
-
了解SBOM格式:企业指南
软件物料清单(SBOM)列出了企业中使用的每个应用程序。这个清单包含应用程序组件、依赖项和库,该标准清单通过提 […]
-
SecOps即将发生变化:你准备好了吗?
我们即将见证安全运营史上最大变化。代理AI正在带来新水平的自动威胁检测、分析、调查和响应,而且正在迅速到来。 […]
-
什么是数据风险管理?关键风险和最佳做法
数据风险管理是风险管理的一种特定形式,通常涉及数据隐私、安全性、可接受使用政策、立法指令或法规合规性。其目的是 […]
-
RSAC 2025:是时候采用加密灵活性
可能还有5年、10年或15年,但量子计算机很快会到来。企业现在必须为那一天做好准备,其中一种方法是采用加密灵活 […]