谷歌宣布自Chrome 116开始每周发布1次稳定版更新以减少漏洞利用时间

据 Google Chrome 安全团队发布的最新博客，谷歌决定从 Chrome 116 正式版开始调整更迭节奏，自此版本开始谷歌会在每周发布一次稳定版更新，这里其实侧重的是子版本更新，也就是安全修复版本。

Chrome 的主要版本更新通常是每个月一次，在主要版本更新之间，谷歌会不定时发布安全更新用来解决已知安全漏洞。

但在之前谷歌的这种更新机制有个问题，那就是漏洞一般都是率先在 Chromium 上进行测试、改进、修复，而 Chromium 源代码是开放的，这意味着任何人都可以看到改动，包括安全更新。

当 Chromium 进行安全更新时，谷歌会先在 Chrome Canary 和 Dev 通道发布修复程序进行稳定性测试，没问题的话再发布到正式版。（PS：实际更新流程还有些区别，实际更新流程是研究人员在 Chrome 中发现漏洞，修复程序会先提交到 Chromium 然后再回到 Chrome。）

于是这就产生了一个问题：在修复程序抵达正式版前，攻击者是有机会利用这些漏洞的，这种也被称为 n 天利用。

从 2020 年的 Chrome 77 版开始，为了缩短 n 天利用，谷歌每 2 周发布一次安全更新，而在 Chrome 77 之前，补丁间隔平均为 35 天，改成 2 周更新后缩短到 15 天。

谷歌认为还有个改进空间，也就是 1 周发布 1 次更新，将补丁间隔时间缩短到 7 天，也就是 n 天利用变成了最长 7 天。

这种策略尽管还是无法彻底解决 n 天利用，不过可以让 Chrome 安全更新的平均水平提前 3.5 天，从而大幅度缩短 n 天利用时间、减少可能的危害。

不过谷歌也强调，并非所有的安全错误都用于 n 天利用，毕竟谷歌也不知道哪些漏洞在野外被利用，哪些没有。所以谷歌会将危害等级为中危和高危的都视作是被利用，从而尽可能大幅度缩短修复时间。

这段时间 Chrome 也改进了更新通知，一旦 Chrome 有新版本可用时，用户将在浏览器右上角看到重启更新、完成更新、需要更新、新版本发布之类的提示，这些提示为绿色。

如果用户很长时间没有更新，则右上角会用红色显示重新安装的提示。

以上就是“谷歌宣布自Chrome 116开始每周发布1次稳定版更新以减少漏洞利用时间”的详细内容，想要了解更多IT圈内资讯欢迎持续关注编程学习网。