在周二,开源浏览器开发商Mozilla不得不发表声明,撤回Mozilla生态系统发展主管Mike Schaver发表的会在漏洞发现十天内修复任何高危漏洞的承诺。 安全研究人员Robert Hansen表示,在上周拉斯维加斯举行的黑帽子(Black hat)大会上,Schaver作出了以上的承诺。 Black Hat会议期间,Mozilla生态系统开发主管(ecosystem development)Mike Schaver在一次深夜举行的party上发誓,火狐浏览器任何确认的安全漏洞都会在10天内得到修复(原话是Ten ****ing Days),Mike Schaver甚至还把它写在名片上,上面有他的手机号码,以证明这不是吹牛。 不过Mozilla可不想被黑客误解,安全主管Window Snyder在日志上指出10天的承诺并非是Mozilla的政策。“我们不认为安全问题是场游戏,这既不是挑衅也不是最后通牒。“Snyder解释道,Schaver所言反映的是Mozilla开发小组对待bugs报告的态度。 Mozilla在周一发表了一个正式声明,收回承诺。没有Ten ****ing Days。" 而在上周末,Mozilla安全主管Window Snyder发表了不同的意见。她表示这并不是Mozilla的官方政策,安全并不是一场游戏。“我们不认为安全问题是场游戏,这既不是挑衅也不是最后通牒。”Snyder解释道,Schaver所言反映的是Mozilla开发小组对待bugs报告的态度。 更准确地说,Shaver只是想表达Mozilla在对待bug问题上反应是非常迅速的,但这不是一项官方的政策。 实际上,不可能预测修复所有隐患需要多长时间,所以所有公司都不会作出类似的承诺。 |