尽管Google认为已经做了许多事来确保Chrome用户的安全,但在最新版本的Chrome,Google更进一步缩短Chrome的修补程序空窗期(patch gap),由33天缩短为15天。
Google Chrome安全小组近日报告2019年第4季的Chrome安全状况,提到持续改进Chrome的“修补空窗期”(patch gap)。所谓修补空窗期是指,当有安全修补程序已发布到Google开源程序代码数据库,但尚未经由稳定版Chrome更新发布的这段期间。Chrome的修补空窗期中位数,在76版的33天缩短为78版的15天。所以,现在Google每2个星期,就会定期发布包含重大安全漏洞修补程序更新的版本。Google表示,这点还会持续改善。
其他Chrome的安全措施还包括,Chrome 79起逐步封锁HTTPS网页中以HTTP连接下载的内容。Google去年8月宣布隐私沙箱(Privacy Sandbox)的计划,以提升用户隐私保护,其中包括在未来的Chrome 80将限制cookies跨网站关注,并在今年内加入反浏览器指纹关注(fingerprinting)措施。
此外,Google也通过漏洞挖掘奖金提升产品安全性。该公司说,去年一整年总共发出650万美元漏洞挖掘奖金,Chrome部分则发出近100万元。为鼓励安全人员通报漏洞,Chrome漏洞通报基本奖金的上限,也从5千美元加到1.5万美元,最高奖金也由1.5万美元加一倍来到3万元。