转载：Mozilla经理：所有高危漏洞十天搞定

上周在拉斯维加斯举办的黑帽安全大会上，Mozilla的行政经理Mike Shaver把他的决心写在名片背后，并递给了SecTheory.com的CEO Robert Hansen。Hansen把这张名片张贴在了ha.ckers.org上，名片上写着“Ten Fucking Days.”

“我告诉他我准备把名片贴出来——他并未拒绝。看来他并没有喝醉，他是认真的。”

这个声明引来了许多争议，都在怀疑Mozilla是否能够实现诺言。

Hansen说：“我一直都是Mozilla和Firefox的爱好者，不过这个大胆的声明对于Mozilla公司来说还是有些激进了。”其他评论员也认为10天的承诺可能并不容易，Sophos的高级安全顾问Graham Cluley认为，补丁应该是高质量的、经过充分测试的，而且根据漏洞的严重性也可能要花费更多时间进行修补。

“如果他们确实是这么说的，那可是有点鲁莽了，”Cluley说，“有一些高危安全漏洞可能涉及到Firefox这样复杂软件的内核部分，而且要保证补丁能够适用于所有用户也许要进行大量的测试。”

Mozilla的安全主管Window Snyder上个周日晚上通过Email说Mozilla会在晚些时候对此事发表评论。

Mozilla在7月份对Firefox进行了2次更新，最后一个更新在7月30号发布，修正了两个Mozilla标记为“高危”的安全漏洞，不过从安全研究人员发布攻击代码到Mozilla发布更新，之间花了2周时间。

微软会在每个月的第二个周二更新它的操作系统和应用程序，公司非常遵守这个规律，除了某些非常危险的漏洞会有额外的补丁发布。

目前根据XiTiMonitor的统计，Firefox在欧洲有27.8%的市场占有率，而在北美只有18.7%。

kmc：Mozilla安全主管Window Snyder

名字起得真好，别的不说，这是我第一次见有人叫Window回到原帖

周二,开源浏览器开发商Mozilla不得不发表声明,撤回Mozilla生态系统发展主管Mike Schaver发表的会在漏洞发现十天内修复任何高危漏洞的承诺.
安全研究人员Robert Hansen表示,在上周拉斯维加斯举行的黑帽子(Black hat)大会上,Schaver作出了以上的承诺.

  而在上周末,Mozilla安全主管Window Snyder发表了不同的意见.她表示这并不是Mozilla的官方政策,安全并不是一场游戏.Snyder表示,Shaver只是想表达Mozilla在对待bug问题上反应是非常迅速的,但这不是一项官方的政策.

  实际上,不可能预测修复所有隐患需要多长时间,所以所有公司都不会作出类似的承诺.

kmc：微软连Years都不敢说吧……回到原帖