新闻来源:翻译自TechSpot
事件回顾:在拉斯维加斯的“Black Hat”安全大会上,Mozilla主管Mike Shaver郑重地宣布“Mozilla可以在10天之内修复旗下软件任何关键性的漏洞”.这标志着Mozilla可能将进一步提高他们在安全性方面的努力. Mike Schaver的言论不应该按照字面上的意思来理解,Mozilla发表官方声明——10天提供补丁,并非他们的政策.稍后,出现了FireFox漏洞的安全更新补丁的提示,而且Mozilla使用了相当醒目的字体.在强调他们在增强安全性方面的努力和IE更新的缓慢的问题上,Mozilla表明他们有能力进行补丁更新.

本周,他们宣布他们不仅提供快速的安全更新,而且确保这些更新会在Bug发现10日之内提供.但是这些补丁是有限制的.

一是要求漏洞的划分必须属于关键性的(critical)——这个就值得探讨了,因为Secunia认为是属于关键性的漏洞, Mozilla则可能并不认同.
二是漏洞应当以“恰当”的方式公布——他们必须先通知Mozilla,然后才可以向公众发布消息.

尽管对于漏洞是否属于关键性的没有划分的标准,而且不同的公司都有各自不同的风险评估等级,Shaver的“10天提供补丁”就是属于“关键性”的漏洞.另外一个情况是,漏洞必须是恰当的方式向公众透露,这就意味着Mozilla在漏洞向公众发布之前就已经获知了.

不过说回来,这虽然是一个冒失的声明,但是完全有可能.只要确保质量,这又是另外一个话题了.修补漏洞远比确保不产生更多问题来的简单,微软就深知这个道理. 很快,我们就可以看到Mozilla的程序员们是否能够接受这个挑战了.