对苹果SRD计划规则不满 谷歌等不再参与iPhone的SRD安全计划
由于苹果严苛的漏洞披露规则,包括谷歌project zero在内的iphone漏洞研究领域的部分大牌团队和个人,都表示将不参与苹果新公布的srd安全计划。
这些团队和个人包括谷歌project zero、zecops、axi0mx以及移动安全公司guardian ceo威尔·斯特拉法赫(will strafach)。
苹果的srd计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版iphone,方便研究人员发现其中的漏洞。苹果2019年12月份正式公布了srd计划。
虽然安全社区去年对苹果公布srd计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的srd计划规则却很是不满。
根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。
这一条款使得苹果能够让安全研究人员“闭嘴”,也使得苹果能够完全控制漏洞的披露过程。
许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款“掩盖”他们的研究,甚至阻止他们公开自己的工作。
谷歌project zero团队负责人本·霍克斯(ben hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果srd计划。”
zecops通过twitter宣布不参与苹果srd计划
网络安全厂商zecops也在twitter上宣布将不参与srd计划,继续以传统方法研究iphone安全问题。
对于了解苹果安全计划历史的人来说,对苹果可能滥用srd计划规则掩饰重要的ios漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。
在4月份发布的多条推文中,macos和ios开发人员杰夫·约翰逊(jeff johnson)指责苹果对其安全研究工作不够重视。
如何针对给定应用实现对节点的优化配置
工信部发布重磅文件 三大运营商资费套餐就快来临了
卫星信号接收差的原因及解决办法
苹果M2 Ultra SoC 芯片参数
易云维®厂务监控系统有效提高生产安全稳定性、抑制生产事故发生可能
对苹果SRD计划规则不满 谷歌等不再参与iPhone的SRD安全计划
PCB入何克服由电磁所引起的问题
【节能学院】安科瑞消防设备电源监控系统在地铁工程的设计与应用
高通买下NXP,真的高枕无忧吗?
16位微控制器MAXQ613的特点及应用
无人机反制枪的作用
气压驱动仿生柔性机械臂的设计
plc应用领域有哪些 PLC的工作方式的优点
氢能源和纯电动谁才是新能源汽车未来的发展方向
自耦变压器的工作原理
苹果地图这么人性化?新增40个中国地标建筑 让你更容易找到路线
6000亿的小家电新消费市场机会到底在哪里?
联发科联手商汤科技、腾讯强攻AI芯片,高通华为紧张了?
视频展台选购分析
Redmi MAX入梯率达99.9% 售价7999元
这些团队和个人包括谷歌project zero、zecops、axi0mx以及移动安全公司guardian ceo威尔·斯特拉法赫(will strafach)。
苹果的srd计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版iphone,方便研究人员发现其中的漏洞。苹果2019年12月份正式公布了srd计划。
虽然安全社区去年对苹果公布srd计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的srd计划规则却很是不满。
根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。
这一条款使得苹果能够让安全研究人员“闭嘴”,也使得苹果能够完全控制漏洞的披露过程。
许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款“掩盖”他们的研究,甚至阻止他们公开自己的工作。
谷歌project zero团队负责人本·霍克斯(ben hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果srd计划。”
zecops通过twitter宣布不参与苹果srd计划
网络安全厂商zecops也在twitter上宣布将不参与srd计划,继续以传统方法研究iphone安全问题。
对于了解苹果安全计划历史的人来说,对苹果可能滥用srd计划规则掩饰重要的ios漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。
在4月份发布的多条推文中,macos和ios开发人员杰夫·约翰逊(jeff johnson)指责苹果对其安全研究工作不够重视。
如何针对给定应用实现对节点的优化配置
工信部发布重磅文件 三大运营商资费套餐就快来临了
卫星信号接收差的原因及解决办法
苹果M2 Ultra SoC 芯片参数
易云维®厂务监控系统有效提高生产安全稳定性、抑制生产事故发生可能
对苹果SRD计划规则不满 谷歌等不再参与iPhone的SRD安全计划
PCB入何克服由电磁所引起的问题
【节能学院】安科瑞消防设备电源监控系统在地铁工程的设计与应用
高通买下NXP,真的高枕无忧吗?
16位微控制器MAXQ613的特点及应用
无人机反制枪的作用
气压驱动仿生柔性机械臂的设计
plc应用领域有哪些 PLC的工作方式的优点
氢能源和纯电动谁才是新能源汽车未来的发展方向
自耦变压器的工作原理
苹果地图这么人性化?新增40个中国地标建筑 让你更容易找到路线
6000亿的小家电新消费市场机会到底在哪里?
联发科联手商汤科技、腾讯强攻AI芯片,高通华为紧张了?
视频展台选购分析
Redmi MAX入梯率达99.9% 售价7999元