(相關(guān)資料圖)

4月14日，谷歌正式公布了一系列舉措，專門針對目前漏洞管理生態(tài)系統(tǒng)的不足，出臺一些更透明度的制度和措施。

谷歌曾在一份公告中提到，零日漏洞作為頭條新聞的“?？汀?，風(fēng)險性確實是比較大的。即使我們一發(fā)現(xiàn)漏洞就立刻修復(fù)，它的風(fēng)險仍然存在，而且可能出現(xiàn)的風(fēng)險包括OEM采用的滯后時間、補丁測試的痛點、終端用戶的更新問題等各個方面，所以如何去改善這件事，真的是個非?，F(xiàn)實的問題。

不僅如此，安全威脅還可能來自于供應(yīng)商應(yīng)用不完整的補丁。有時候一些實驗室和研究機構(gòu)外部的零日漏洞有很大一部分會直接變成以前打過補丁的漏洞的“升級版本”。如果想要減輕此類風(fēng)險，必須要從漏洞的根源解決問題。而在這個解決過程中，要優(yōu)先考慮現(xiàn)代安全軟件開發(fā)實踐的情況，這樣就能更好的消除所有同類型的威脅，同時還能阻止?jié)撛诘墓袈窂健?/p>

基于上述因素，谷歌表示目前正在組建一個黑客政策委員會，該委員會將會確立新的政策和法規(guī)。同時，谷歌進一步強調(diào)，后面如果再出現(xiàn)某產(chǎn)品系列的漏洞被人利用的情況出現(xiàn)，掌握證據(jù)后，會直接將調(diào)查事件結(jié)果進行公開披露。

這家科技巨頭表示，它還在籌備設(shè)立一個安全研究法律辯護基金，專為從事正向研究的優(yōu)秀個人提供種子資金，以更好的促進網(wǎng)絡(luò)安全問題的宣傳，從而更好的發(fā)現(xiàn)安全問題并更加及時地報告漏洞信息。

谷歌最新的安全計劃表明，如果想要漏洞不輕易被利用，那么就要加速已知漏洞的補丁應(yīng)用，制定有針對性的政策，并且讓用戶及時了解這些訊息，以最大程度的確保產(chǎn)品的生命周期。另外，安全計劃中還強調(diào)了在軟件開發(fā)生命周期的任何階段，應(yīng)用設(shè)計安全原則都十分重要。

在公開宣布這一消息之后，谷歌還推出了一項名為deps.dev API的免費API服務(wù)，可以向人們提供對Go、Maven、PyPI、npm和Cargo存儲庫中約500萬個開源包中，共計約5000多萬個版本的安全元數(shù)據(jù)和依賴性信息訪問的服務(wù)，從而確保軟件供應(yīng)鏈的安全性。

同時，谷歌的云計算部門也宣布將為Java和Python生態(tài)系統(tǒng)提供開源軟件（Assured OSS）服務(wù)，以保證該系統(tǒng)的普遍可用性。

參考鏈接：

https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html

關(guān)鍵詞：