備忘單:TensorFlow，一個用于機器學(xué)習(xí)的開源軟件庫

閱讀更多

谷歌安全工程師上周表示，他們已經(jīng)成功地將谷歌Chrome的“補丁漏洞”從33天縮短到了15天。

術(shù)語“補丁缺口”指的是當一個安全缺陷在一個開放源碼庫中被修復(fù)時到同樣的修復(fù)在使用該特定庫的軟件中出現(xiàn)時所花費的時間。

在當今的軟件環(huán)境中，許多應(yīng)用程序都依賴于開源組件，“補丁漏洞”被認為是一個主要的安全風(fēng)險。

原因是，當一個安全缺陷在一個開源庫中被修復(fù)時，有關(guān)該缺陷的細節(jié)就會公開，這主要是由于大多數(shù)開源項目的公共性質(zhì)和開放性。

然后，在軟件制造商有機會發(fā)布補丁之前，黑客就可以利用這些安全缺陷的細節(jié)，精心設(shè)計漏洞，并對依賴于易受攻擊組件的軟件發(fā)起攻擊。

如果軟件制造商的發(fā)布時間是固定的，每隔幾周或幾個月就會發(fā)布更新，那么補丁漏洞就會為黑客提供一個大多數(shù)軟件項目無法應(yīng)對的攻擊窗口。

Chrome web瀏覽器是受補丁漏洞影響的項目之一，因為它使用了大量的開源組件——從PDFium pdf查看庫到V8 JavaScript引擎等等。

2019年，Exodus Intelligence的安全研究人員強調(diào)了兩個問題:Chrome的巨大補丁漏洞可能被攻擊者利用。

今年4月和9月，Exodus的研究人員針對V8 JavaScript引擎中修復(fù)的安全漏洞開發(fā)了概念驗證漏洞代碼，這些漏洞還沒有進入Chrome的代碼庫。

對Chrome用戶來說，好消息是Exodus團隊對這個話題的研究和隨后的警告并不是沒有被Chrome安全團隊聽到。

在Chrome最近發(fā)布的2019年第四季季度安全總結(jié)中，谷歌的工程師們表示，他們已經(jīng)在努力縮小Chrome的補丁差距。

Chrome安全團隊成員安德魯·r·沃利(Andrew R. Whalley)說，“我們現(xiàn)在每兩周發(fā)布一次常規(guī)更新，包含最新的嚴重安全補丁?！?/p>

他補充道:“這使得Chrome 76的補丁平均時間從33天縮短到了15天，我們會繼續(xù)改進?！?/p>

正如Whalley所解釋的那樣，谷歌解決Chrome漏洞的方法是更頻繁地發(fā)布安全補丁。隨著谷歌計劃進一步縮小補丁的差距，這很可能意味著我們將很快看到Chrome安全補丁每周發(fā)布一次，因為谷歌的工程師們將關(guān)鍵的安全補丁從開源庫推送到用戶的Chrome瀏覽器上。

由于Chrome具有默認為所有用戶開啟的靜默更新機制，在大多數(shù)情況下，Chrome終端用戶無需采取任何行動就能收到修復(fù)程序。

類似的“補丁漏洞”問題也影響了谷歌的第二個主要軟件項目，Android操作系統(tǒng)，它也依賴于大量的開源組件。然而，為Android提供安全更新是……一塌糊涂，一塌糊涂。