谷歌本周二宣布了一项名为ProjectZero的计划,该计划由一组谷歌安全专家组成的内部团队负责,专为第三方软件寻找漏洞。他们并不会利用漏洞,只会对第三方软件开发商发出警告,以避免IT界下一个心脏出血漏洞(Heartbleed)的爆发。
心脏出血漏洞为整个软件行业敲响了刺耳的警钟。谷歌、Facebook、微软和其他许多软件公司在今年早些时候便组织起了一个公共基金会,旨在为流行的开源项目检查、改进安全问题。但是,Project Zero计划并不一样,
谷歌表示,Project Zero计划集结了“最好的安全团队”去“大幅减少有针对性的攻击”,尤其是那些有大量使用者基础的软件。要做到这一点,谷歌专门聘请了全职安全研究人员进驻Project Zero计划,此外它还希望更多外部安全研究人员加入计划,以扩大软件查错的范围。
每个新发现的程序漏洞都将会被汇报至一个外部数据库(截稿时该数据库还空空如也)。但在此操作之前,软件的开发商都会首先获得有关报告,而这个过程将不会被泄漏给第三方。
乍一看,谷歌将大量人才资源用于第三方软件查虫似乎有些不可思议。但仔细想想,当下几乎每一款软件,无论是移动、桌面还是Web应用,都大量依赖于不同软件开发商的协同合作。也许ProjectZero计划就是为了给普通人提供一个安全的互联网环境,也是为开发人员打造自己的Android应用提供一个放心的程序框架。毕竟这些安全问题可能会影响谷歌的用户,甚至谷歌自己的基础设施。(译:王博源)
Google Launches Project Zero To Find Security Bugs In Third-Party Software