谷歌将Chrome的补丁差距缩短了一半
备忘单:TensorFlow,一个用于机器学习的开源软件库
阅读更多
谷歌安全工程师上周表示,他们已经成功地将谷歌Chrome的“补丁漏洞”从33天缩短到了15天。
术语“补丁缺口”指的是当一个安全缺陷在一个开放源码库中被修复时到同样的修复在使用该特定库的软件中出现时所花费的时间。
在当今的软件环境中,许多应用程序都依赖于开源组件,“补丁漏洞”被认为是一个主要的安全风险。
原因是,当一个安全缺陷在一个开源库中被修复时,有关该缺陷的细节就会公开,这主要是由于大多数开源项目的公共性质和开放性。
然后,在软件制造商有机会发布补丁之前,黑客就可以利用这些安全缺陷的细节,精心设计漏洞,并对依赖于易受攻击组件的软件发起攻击。
如果软件制造商的发布时间是固定的,每隔几周或几个月就会发布更新,那么补丁漏洞就会为黑客提供一个大多数软件项目无法应对的攻击窗口。
Chrome web浏览器是受补丁漏洞影响的项目之一,因为它使用了大量的开源组件——从PDFium pdf查看库到V8 JavaScript引擎等等。
2019年,Exodus Intelligence的安全研究人员强调了两个问题:Chrome的巨大补丁漏洞可能被攻击者利用。
今年4月和9月,Exodus的研究人员针对V8 JavaScript引擎中修复的安全漏洞开发了概念验证漏洞代码,这些漏洞还没有进入Chrome的代码库。
对Chrome用户来说,好消息是Exodus团队对这个话题的研究和随后的警告并不是没有被Chrome安全团队听到。
在Chrome最近发布的2019年第四季季度安全总结中,谷歌的工程师们表示,他们已经在努力缩小Chrome的补丁差距。
Chrome安全团队成员安德鲁·r·沃利(Andrew R. Whalley)说,“我们现在每两周发布一次常规更新,包含最新的严重安全补丁。”
他补充道:“这使得Chrome 76的补丁平均时间从33天缩短到了15天,我们会继续改进。”
正如Whalley所解释的那样,谷歌解决Chrome漏洞的方法是更频繁地发布安全补丁。随着谷歌计划进一步缩小补丁的差距,这很可能意味着我们将很快看到Chrome安全补丁每周发布一次,因为谷歌的工程师们将关键的安全补丁从开源库推送到用户的Chrome浏览器上。
由于Chrome具有默认为所有用户开启的静默更新机制,在大多数情况下,Chrome终端用户无需采取任何行动就能收到修复程序。
类似的“补丁漏洞”问题也影响了谷歌的第二个主要软件项目,Android操作系统,它也依赖于大量的开源组件。然而,为Android提供安全更新是……一塌糊涂,一塌糊涂。