Google分享Project Zero漏洞通報流程，同場加映充滿Bug的通報之旅遊記

Project Zero是Google於2014年7月15日所公開的資訊保安團隊，其任務是尋找資安漏洞，並通知相關單位以利即早修正問題。Project Zero為了讓軟、硬體廠商瞭解如何改善通報機制，在官方部落格分享了漏洞的通報流程，讓人們可以一探他們的工作內容，也更加瞭解團隊運作方式。

志在防堵零日攻擊

Project Zero主要的工作是尋找潛在的資安漏洞，尤其是可能造成零日攻擊（Zero-Day Exploit）的漏洞。當團隊人員找到漏洞之後，會馬上通知相關的軟硬體廠商或開發者，並等待修補完成之後，才對外公布漏洞細節，但是如果開發者在90天之內尚未完成修補工作的話，Project Zero則會自動公布漏洞細節。

所謂零日攻擊是指利用還沒有修正程式的資安漏洞發動攻擊，由於在攻擊進行的當下所有的目標（例如裝有該程式的電腦）都處於門戶大開的狀況，因此會對資安造成巨大威脅，因此如何防制這類攻擊就是重要的工作。

Project Zero的這種處理流程符合負責揭露（Responsible Disclosure）的原則，能夠給予硬體或軟體廠商時間去修正問題，並能在適當的時間將問題揭露給大眾知悉，取得資安與社會責任的平衡。

▲ 找出漏洞並在第一時間修正是維護資安的重要手段。

提升漏洞通報效率

Project Zero團隊表示他們花了許多時間向各相關廠商通報Bug，雖然在大部分的情況下流程都很流暢，但是有時候還是會遇到比較棘手的狀況，比方需要將漏洞通報給多間廠商，或是通報系統設計不良。

Project Zero考量到廠商需要確實收到情資，通報的動作對於維護一般使用者的安全也相當重要，因此決定分享通報的流程，以期望與廠商一起改進，提升未來通報的確實與即時性。

從工作流程的角度來看，需要掌握幾個重點來簡化通報的程序。首先通報管道要相當明確且容易進行，Project Zero偶爾會遇到找不到通報管道的情況，在廠商的網站也找不到相關的說明文件，或是文件已經過期導致程序不符，這些問題都將拖慢處理速度，因此建議廠商能在容易找到的位置提供明確說明文件。

第二，流程本身也要盡量簡單，若通報的方式相當冗長，不但會讓通報者花費更多時間，甚至可能會造成通報者中途放棄，雖然Project Zero的成員不會這樣做，但是難保其他人都會確實完成程序。Project Zero建議盡量讓通報流程精簡，不需要點擊許多按鈕或閱讀冗長說明，例如透過電子郵件或Bug追踪器（Bug Tracker）就是個好方法，使用網頁表格也不錯，只要讓通報流程越容易，大家就越有意願走完程序。

廠商也應充分測試通報系統是否能正常運作（Bug追蹤系統本身不能有Bug啊），否則在填寫表單時彈出錯誤訊息，或是回報的資訊卡在系統中沒被注意到，都會影響工作進度。此外系統最好會回傳確認訊息，讓通報者知道廠商有收到資料，而當漏洞沒有在預期的時間內處理完成，通報者也更可能再次提醒。

▲ 找尋Bug的工作相當辛苦，若通報系統也有Bug真的會讓人啼笑皆非。

（下一頁還有更多建議與實例分享）