谷歌將Chrome的補丁差距縮短了一半

備忘單:TensorFlow，一個用于機器學習的開源軟件庫

閱讀更多

谷歌安全工程師上周表示，他們已經成功地將谷歌Chrome的“補丁漏洞”從33天縮短到了15天。

術語“補丁缺口”指的是當一個安全缺陷在一個開放源碼庫中被修復時到同樣的修復在使用該特定庫的軟件中出現時所花費的時間。

在當今的軟件環境中，許多應用程序都依賴于開源組件，“補丁漏洞”被認為是一個主要的安全風險。

原因是，當一個安全缺陷在一個開源庫中被修復時，有關該缺陷的細節就會公開，這主要是由于大多數開源項目的公共性質和開放性。

然后，在軟件制造商有機會發布補丁之前，黑客就可以利用這些安全缺陷的細節，精心設計漏洞，并對依賴于易受攻擊組件的軟件發起攻擊。

如果軟件制造商的發布時間是固定的，每隔幾周或幾個月就會發布更新，那么補丁漏洞就會為黑客提供一個大多數軟件項目無法應對的攻擊窗口。

Chrome web瀏覽器是受補丁漏洞影響的項目之一，因為它使用了大量的開源組件——從PDFium pdf查看庫到V8 JavaScript引擎等等。

2019年，Exodus Intelligence的安全研究人員強調了兩個問題:Chrome的巨大補丁漏洞可能被攻擊者利用。

今年4月和9月，Exodus的研究人員針對V8 JavaScript引擎中修復的安全漏洞開發了概念驗證漏洞代碼，這些漏洞還沒有進入Chrome的代碼庫。

對Chrome用戶來說，好消息是Exodus團隊對這個話題的研究和隨后的警告并不是沒有被Chrome安全團隊聽到。

在Chrome最近發布的2019年第四季季度安全總結中，谷歌的工程師們表示，他們已經在努力縮小Chrome的補丁差距。

Chrome安全團隊成員安德魯·r·沃利(Andrew R. Whalley)說，“我們現在每兩周發布一次常規更新，包含最新的嚴重安全補丁。”

他補充道:“這使得Chrome 76的補丁平均時間從33天縮短到了15天，我們會繼續改進。”

正如Whalley所解釋的那樣，谷歌解決Chrome漏洞的方法是更頻繁地發布安全補丁。隨著谷歌計劃進一步縮小補丁的差距，這很可能意味著我們將很快看到Chrome安全補丁每周發布一次，因為谷歌的工程師們將關鍵的安全補丁從開源庫推送到用戶的Chrome瀏覽器上。

由于Chrome具有默認為所有用戶開啟的靜默更新機制，在大多數情況下，Chrome終端用戶無需采取任何行動就能收到修復程序。

類似的“補丁漏洞”問題也影響了谷歌的第二個主要軟件項目，Android操作系統，它也依賴于大量的開源組件。然而，為Android提供安全更新是……一塌糊涂，一塌糊涂。