由于苹果严格的漏洞披露规定，苹果漏洞研究领域的一些知名团队和个人，包括谷歌零项目(Google Project Zero)，今天表示，他们不会参与苹果新宣布的SRD安全计划。这些团队和个人包括谷歌零项目、ZecOps、Axi0mX和移动安全公司嘉德的首席执行官威尔·斯特拉法奇。

苹果的SRD计划在手机制造商中独一无二。根据这一计划，苹果将为安全研究人员提供一款特殊版本的苹果手机，以便研究人员能够发现漏洞。苹果在2019年12月正式宣布了SRD计划。

尽管安全团体为苹果去年宣布的SRD计划欢呼雀跃，认为这是正确道路上的第一步，但他们对苹果今天宣布的SRD计划的规则非常不满。

根据社交媒体上安全社区的评论，大多数安全研究人员对以下条款不满意:在报告了影响苹果产品的安全漏洞后，苹果将确定安全研究人员可以公开披露漏洞的日期(通常，苹果会在同一天发布补丁来修复漏洞)。苹果将尽早修复每个漏洞。安全研究人员不允许在指定日期之前与他人或机构讨论漏洞。

这项规定使苹果公司能够“关闭”安全研究人员，也使苹果公司能够完全控制漏洞的披露过程。

许多安全研究人员担心苹果会滥用这一条款，推迟重要安全补丁的发布。有些人担心苹果公司会用这个条款来“掩盖”他们的研究，甚至阻止他们披露他们的工作。

谷歌零项目团队的负责人本·霍克首先注意到了这一条款及其可能的影响。“鉴于漏洞披露规则的限制，我们可能无法参与苹果SRD计划。”

ZecOps通过推特宣布它不会参与苹果SRD项目

网络安全供应商ZecOps也在推特上宣布，它不会参与SRD项目，并将继续以传统方式研究iPhone的安全问题。

对于那些了解苹果安全计划历史的人来说，苹果滥用SRD计划规则来掩盖重要的iOS漏洞和安全研究是合理的。在此之前，苹果公司曾多次被指控此类行为。

在4月份发布的一些推文中，苹果电脑和iOS的开发者杰夫·约翰逊指责苹果公司对其安全研究工作不够重视。

特别声明:这篇文章的版权属于作者，只代表作者的观点，不代表艾西助理的观点和立场。本文由第三方用户上传，仅用于学习和交流，不用于商业目的。例如，本文中的内容、图片、音频和视频具有第三方的在先知识产权，请及时联系我们删除。