谷歌漏洞披露规则增加30天补丁缓冲期；Reddit 公开漏洞奖励计划

Reddit 此前在 HackerOne 平台上运行了3年的非公开漏洞奖励计划，共收到300个和 reddit.com 相关的漏洞报告并发出赏金14万美元，此次发布的公开版本涵盖范围将扩大。

Reddit 表示，公开漏洞奖励计划是为了保护用户账户、身份和私有数据受到保护，包括聊天、信息、邮件地址、投票记录和 subreddit 订阅信息等，“除了保护用户发布内容的安全，Reddit 还会保护用户身份的机密性以及在 Reddit 社区和私密空间讨论的完整性。”

此次漏洞奖励计划涵盖的范围包括Reddit 的多数资产，包括所有的 reddit.com 和 snoogusts.net 子域名。

Reddit 要求漏洞报告需要包含足够信息，便于 Reddit 团队复现漏洞。如满足条件，则“严重“等级漏洞可获得赏金1万美元，高危漏洞可获得5000美元，而中危和低危漏洞可分别获得500美元和100美元。”严重“等级漏洞是指可披露攻陷用户数据包括密码哈希、邮件地址、私密聊天和信息，或者可导致攻击者绕过认证和访问账户的漏洞。

在未得到Reddit 明确同意的情况下，研究员禁止访问其它用户账户或数据，禁止披露已发现漏洞，禁止在漏洞修复前披露漏洞详情。另外，获得服务器的远程访问权限后，禁止研究员扫描 Reddit 的内网，禁止滥用已发现漏洞上传恶意软件或进一步削弱已受影响系统的安全性，禁止影响 Reddit 的性能或可用性。

谷歌 Project Zero 安全团队更新了漏洞披露指南，增加了30天的缓冲期，以便终端用户有足够的时间修复软件并阻止攻击者武器化漏洞。

这一改变十分重要，因为网络安全社区很多使用了 Project Zero 的规则，作为向软件厂商披露安全漏洞以及对外披露的非官方做法。

此前，谷歌给软件厂商的修复时间是90天。补丁修复后或者在90天的窗口期后，谷歌将会在自己的漏洞追踪工具上发布漏洞详情。而从现在开始，谷歌表示在发布漏洞详情前将会等待30天。这样做是为了让受影响产品的用户有足够时间更新软件，因为在某些复杂的企业网络中，完成操作通常需要数天或数周的时间。

此前，Project Zero 团队的研究员通常会发布深入的漏洞技术分析并常常包含 PoC 代码。尽管演示的 exploit 代码并未武器化，但常被用于构建更加高阶的 exploit。但颇具讽刺意味的是，对待自己的漏洞，谷歌也担心 exploit 遭利用而从未公开过漏洞详情。

另外，这30天的补丁缓冲期也适用于 0day 漏洞，而仅非一般漏洞。此前，谷歌会给企业7天的时间修复已遭利用的 0day，之后发布漏洞详情。但从2021年起，将为0day应用同样的30天补丁缓冲期，甚至愿意在罕见情况下，在最初的7天期限基础上再加3天，让企业有足够的时间开发补丁。

明年的披露规则更新包括修改披露窗口期：从90+30天修改为84+28等类似可被7整除的期限，以免披露期限卡在周末：IT 人员通常在周末不会对内网系统部署紧急安全补丁。

谷歌表示，此举可能会让网络安全团队和网络防御人员不快，因为他们依赖 Project Zero 漏洞详情创建检测规则，检测可能存在的利用尝试。谷歌建议安全企业和其它防御人员向受影响厂商获取“可采取行动的技术详情”。