執行長報告:Zoom 完成90天資安計畫後的下一步

執行長報告:Zoom 完成90天資安計畫後的下一步

 

執行長報告:Zoom 完成90天資安計畫後的下一步

Eric S. Yuan

 

在2020年的前幾個月,Zoom團隊努力不懈地支持大量湧入平台上全新和不同類型的用戶。我們系統突然面臨的大量需求,這是沒有任何其他公司曾經歷過的。當3月即將結束時,Zoom意識到我們的獨特使命 – 為數以億計的日常會議參與者提供無縫視訊通訊服務 – 及對安全性和隱私的關注,我們在這領域上還需要繼續努力。

Zoom於2020年4月1日承諾數項針對安全性和隱私性的加強措施,並於當天推出90天資安強化計劃,重新聚焦了公司的7個承諾,將安全性和隱私永久嵌入到Zoom的DNA中。今天,Zoom將針對每一項承諾提供最新近展,並同時分享Zoom的下一步。

 

第一個承諾:自4月1日起凍結新增功能,並將所有的工程資源轉移專注於我們最大的信任、安全和隱私問題。

進展:我們對與隱私或安全性無關的所有功能實行了90天的凍結,並在將所有工程和產品資源投入在安全和隱私方面上後,推出了上百種功能。其中包括:

  • Zoom 5.0
    • AES 256 GCM 加密(適用於所有用戶,包括免費和付費用戶)
    • 使用者介面更新 – 安全圖示,提供資料中心位置的綠色加密盾
    • 舉報使用者
    • 會議預設設定 – 密碼、等候室和有限的螢幕共享
    • 其他功能 – 會議主持人可禁用多裝置登錄、取消靜音、雲端錄影失效期、對Zoom Chat的更嚴格控制等
  • 完成收購Keybase並開始建構端對端加密(適用於所有用戶,包括免費和付費用戶)
  • 按地理位置決定數據路徑的功能

 

第二個承諾:與第三方專家和代表性用戶一同進行全面審查,了解並確保所有新使用案例的安全性和隱私性。

進展:我們已經與一群第三方專家合作,審查和改進我們的產品、做法和政策。這群專家包括我們的CISO諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy and Technology以及其他在隱私、安全性和包容性領域的組織。

 

第三個承諾:增強我們現有的程式漏洞賞金計畫。

進展:我們目前已經開發了一個中央程式漏洞資料庫和相關的工作流程。此資料庫從HackerOne、Bugcrowd和security@zoom.us(後者不需要簽署NDA)中擷取經過Praetorian資安解決方案診斷後產出的漏洞報告。我們透過日常會議建立持續的審查流程機制,並改善與安全研究人員和第三方審查人員的合作。我們還聘請了程式漏洞和漏洞賞金計畫的負責人、多位AppSec工程師,並持續招募更多的安全工程師,這些人才都致力於解決漏洞問題。

 

除了以上承諾之外,Zoom另外的四項承諾包括: 準備透明度報告詳細說明任何數據、記錄或內容的請求; 與業界其他領導級的資安長合作成立資安長委員會(CISO council); 參與一系列的白箱滲透測試服務以更進一步的辨別和解決問題; 並於每週三舉辦線上研討會,以向我們的社群提供隱私和安全保障更新等。

 

我們的下一步

Zoom在這一段時間經歷了有意義的變化,在努力贏得客戶對我們的信任過程中,平台的安全與隱私性已成為我們工作的首要之務。我對於Zoom能協助處於危機中的世界維持聯繫,以及團隊過去90天增強平台安全性所做出的努力感到相當驕傲,但也感到謙卑。

我們不能也不會停止,隱私和安全性將持續是Zoom的工作重點,這90天的期間雖然有相當成效,但這只是我們的第一步。在以上報告中,我分享了有助於Zoom邁向世界上最流暢、最安全的視訊通訊平台的全新流程和新加入的人員。

文章授權(創用CC授權)
by
comment

CONTACT US

We're not around right now. But you can send us an email and we'll get back to you, asap.

Sending

©2020 Business Next Publishing Corp. 聯絡、建議隱私權

Log in with your credentials

or    

Forgot your details?

Create Account