Mozilla:10天补丁保证“不是我们的政策”

Mozilla公司没有在深夜睡衣派对上设置安全策略。

这家开源浏览器制造商周一被迫发表声明,收回了该公司生态系统开发总监迈克·沙弗(Mike Schaver)的承诺,即在“十天内”修复浏览器中的任何关键安全漏洞

安全研究员罗伯特·汉森说,夏弗是在上周拉斯维加斯举行的黑帽大会上举办的一个深夜睡衣派对上做出这一承诺的。

当汉森说他怀疑这是可能的,剃须刀显然支持了他的书面承诺:把它放在一张名片上,上面有一个箭头链接到他的手机号码我告诉他我会给他寄名片——他没有退缩。不,他没有喝醉。他是认真的,”汉森在周五的博客中写道。[警告:URL和图像包含咒语。]

上周五,Mozilla安全主管Window Snyder对Shaver的深夜涂鸦进行了改进。

“这不是我们的政策,”她在博客中写道我们不认为安全是一场游戏,也不发出挑战或最后通牒。”

斯奈德说,Shaver试图解释Mozilla团队对bug报告的反应如何,而没有提供正式的政策声明。

在周一的一次采访中,汉森说他从不相信“十。。。“天”的承诺是官方的政策。

他说:“他真正想让我看到的是,他相信,与那些积极寻找漏洞的人接触是非常重要的。”任何一家公司都不可能提出这种说法。”

一些供应商忽略了独立报告的漏洞,而沮丧的研究人员已经知道,他们会披露漏洞的细节,因为他们觉得修补这些漏洞花费的时间太长了。Hansen说,Mozilla显然不希望这种情况发生,它希望研究人员知道它非常重视这些漏洞。

他认为Mozilla明确表示没有10天的补丁策略是正确的,因为无法预测修复所有漏洞需要多长时间。

“我认为这是正确的举动,”汉森说迈克没有能力制定这种政策,尤其是在深夜的聚会上。”