Google将Chrome的“补丁差距”减少了一半，从33天缩短至15天

 
谷歌安全工程师上周表示，他们已经成功地将谷歌浏览器中的“补丁间隔”从33天减少到只有15天。
术语“修补程序间隔”是指从修复安全漏洞到开放源代码库到将相同的修复程序加载到使用该特定库的软件中所花费的时间。
在当今许多应用程序都依赖开源组件的软件领域中，“补丁差距”被认为是主要的安全风险。
原因是因为在开放源代码库中修复安全错误后，有关该错误的详细信息才公开，这主要是由于大多数开放源代码项目的公开性质和开放性。
然后，黑客可以在软件制造商有机会发布补丁程序之前，使用有关这些安全漏洞的详细信息来进行利用，并对依赖于该易受攻击组件的软件进行攻击。
如果软件制造商按固定的发布时间表进行更新，每隔几周或几个月就会发布一次更新，则补丁漏洞可能会为黑客提供大多数软件项目无法应对的攻击窗口。
Chrome网络浏览器是其中一个受补丁程序间隔影响的项目之一，因为它使用了大量的开源组件-从PDFium PDF查看库到V8 JavaScript引擎，仅举几例。
在2019年，来自Exodus Intelligence的安全研究人员强调了两次场合，Chrome的巨大补丁漏洞可以被攻击者利用。
首先在4月，然后在9月，Exodus的研究人员开发了针对V8 JavaScript引擎中修复的安全漏洞的概念验证漏洞利用代码，而该漏洞尚未进入Chrome代码库的下游。
Google通知书
对于Chrome用户而言，好消息是，Chrome安全团队对Exodus小组针对该主题及其后续警告的研究并未闻所未闻。
在Chrome最近发布的2019年第四季度季度安全摘要中，谷歌工程师表示他们已经在努力缩小Chrome的补丁差距。
Chrome安全小组成员Andrew R. Whalley说：“我们现在每两周发布一次常规更新，其中包含最新的严重安全修复程序。
他补充说：“这已将中位数’补丁差距’从Chrome 76的33天减少到Chrome 78的15天，我们将继续努力以改善它。”
铬安全性每星期更新一次?
正如Whalley所解释的，Google减少Chrome补丁漏洞的答案是更频繁地发布安全修复程序。 Google计划进一步缩小补丁程序的间隔，这很可能意味着我们很快就会每周看到Chrome安全修复程序，因为Google工程师将关键的安全修复程序从开源库推送到用户的Chrome浏览器。
由于Chrome具有默认情况下对所有用户都启用的静默更新机制，因此在大多数情况下，Chrome最终用户无需采取任何措施即可获得修补程序。
与“修补程序间隔”类似的问题也影响了Google的第二个主要软件项目，即Android OS，后者也依赖于大量的开源组件。但是，为Android提供安全更新真是一团糟。