執行長報告:90 天計畫已完成,Zoom 未來展望

執行長報告:90 天計畫已完成,Zoom 未來展望

在 2020 年的前幾個月,Zoom 團隊不分晝夜地工作,為我們平台上大量湧入的新使用者和不同類型的使用者提供支援。我們系統的需求量經歷了大多數公司未曾遇到過的驟然增加。隨著 3 月即將結束,我們意識到,要為數億個會議與會者提供無摩擦的視訊通訊體驗,需要對安全和隱私給予同等關注,我們需要在這兩方面做出更多努力。 

於是 2020 年 4 月 1 日,我們承諾將對安全和隱私進行一些增強。我們當天推出了一項為期 90 天的計畫,將公司的工作重點轉移到了 7 項承諾上,力求透過這些承諾將安全和隱私永久注入到 Zoom 的 DNA 中。今天,我將介紹一下這些承諾的最新狀態,並展望一下我們的未來。 

承諾 1:從 4 月 1 日起實行功能凍結,集中我們的所有工程資源處理最緊要的信任、安全和隱私權問題。

狀態:我們對與隱私、安全或保全無關的所有功能實行了 90 天的凍結。我們將所有工程和產品資源集中到這個方向,發佈了 100 多種功能,其中包括:

  • Zoom 5.0
    • 為所有會議啟用 AES 256 位元 GCM 加密 (所有免費和付費使用者均可使用)。如需詳細資訊,請參閱 https://support.zoom.us/hc/zh-tw/articles/360043555772
    • 使用者介面更新 – 安全圖示,綠色加密盾以及按一下即可查看資料中心位置
    • 檢舉使用者
    • 會議預設 – 密碼、等候室和有限的畫面分享
    • 其他功能 – 主持人停用多個裝置登入、取消靜音同意、雲端錄製內容到期、更嚴格的 Zoom Chat 控制項等等
  • 收購 Keybase 並開始建構端對端加密 (適用於所有免費和付費使用者)
  • 提供按地理位置自訂的資料路由

展望未來,我們建立了一系列機制,以確保在我們產品和功能開發的每個階段都始終將安全和隱私作為首要之務:

  • 設計階段:安全要求、風險評估、威脅建模 
  • 建構:安全代碼準則、自助掃描、CI/CD 工具
  • 測試:安全測試、自動測試執行、網路測試工具
  • 發佈:安全配置、完整性監視、驗證要求
  • 生產:監控系統安全、系統健全情況、威脅態勢 

承諾 2:與第三方專家和使用者代表進行全面檢討,瞭解並確保所有新使用案例的安全和隱私。

狀態:我們已經與一些第三方專家開展合作,檢討和改進我們的產品、實務和政策,其中包括資安長諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Bit of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy 以及隱私、安全和包容性領域的其他組織。我們對所有人的協助和做出的巨大貢獻表示感謝。 

承諾 3:準備詳盡說明資料、記錄或內容請求相關資訊的透明報告。

狀態:我們在界定透明報告的框架和準備方法方面獲得了重大進展,報告會詳盡說明 Zoom 收到的資料、記錄或內容請求。我們期待在今年稍後的第一份報告中提供第二季財務資料。同時,我們最近還制定了有關如何響應政府請求的指南。我們還更新了我們的隱私政策,主要是使這些政策更容易瞭解,並新增了單獨的加州隱私權聲明。您可以在 zoom.com/privacy-and-legal 找到這些文件。

承諾 4:強化我們目前的錯誤賞金計畫。

狀態:我們開發了中央錯誤存放庫和相關的工作流程序。這個存放庫接收來自 HackerOne、Bugcrowd 和 security@zoom.us (後者不需要 NDA) 的透過 Praetorian 進行分類的漏洞報告。我們建立了持續的每日會議檢討流程,並改善了安全研究人員和第三方評估人員的協調。我們還聘請了漏洞和錯誤賞金負責人以及其他多位 appsec 工程師,而且正在招募更多的安全工程師,所有這些人都致力於解決漏洞。同時,我們專注於縮短回應時間。整體而言,我們的錯誤賞金計畫相當可靠,而且隨著我們招募目標的達成,會變得更強大。我們感謝 Luta Security 在這個過程中提供的協助。

承諾 5:與來自各個行業的領先資安長合作,成立資安長委員會,開展有關安全和隱私權最佳做法的持續對話。

狀態:我們成立了資安長委員會,由來自各個行業的 36 位資安長組成,其中包括 SentinelOne、亞利桑那州立大學、匯豐銀行和 Sanofi。在副資訊長 Gary Sorrentino 的帶領下,該委員會在過去三個月中召開了四次會議,針對一些重要事項提供了意見,例如區域資料中心的選擇、加密、會議驗證以及檢舉使用者、密碼和等候室等功能。委員會的運作相當成功,我們將透過資安長圓桌會議擴展該項目,促進資安長客戶與我們的安全團隊負責人之間的互動討論,藉以瞭解和評估 Zoom 所做的工作,確保我們的平台在未來的安全和隱私。感興趣的資安長和資訊長可以洽詢 Zoom Account Executive 瞭解詳情。  

承諾 6:透過一系列同時進行的白箱滲透測試,進一步發現並解決問題。

狀態:Zoom 聘請了多家公司 (Trail of Bits、NCC Group 和 BishopFox) 檢討我們的整個平台。他們的工作範圍包括:

  • 公共和代管資料中心的 Zoom 生產環境: 
    • 雲端配置
    • 外部 IP 空間
    • 內部生產網路
  • Zoom 核心網路應用程式和 Zoom 企業網路:
    • 內部網路
    • 外部週邊
  • 通用用戶端的公共 API
    • 行動用戶端
    • 桌面用戶端

Zoom 致力於進行連續的第三方滲透測試,以此做為安全計畫的基礎。 

承諾 7:每週三舉辦每週一次的網路研討會,向我們的社群提供隱私和安全更新。

狀態:包括今天的網路研討會在內,自 4 月 1 日起,每個週三舉辦的網路研討會已有 13 場。我們的許多高階主管和顧問出席了這些研討會,在現場回答了與會者的問題。另外,我們每週三還會在網路日誌上分享網路研討會的概要和錄影。下一次網路研討會將在 7 月 15 日舉行,以後改為每月舉行。 

其他重要更新

我們也採取了一些其他的重要措施:

  • 自從 4 月 1 日以來,我們進行了多次重要領導階層補強或異動,其中包括: 
    • Velchamy Sankarlingam,產品與工程總裁 
    • Jason Lee,資安長
    • Damien Hooper-Campbell,多元化長
    • Aparna Bawa 出任營運長,目前負責 Zoom 的安全工作
    • 副總法律顧問兼法遵倫理長 Lynn Haaland 出任隱私長
    • H.R. McMaster 加入 Zoom 董事會
    • Josh Kallmer,公共政策與政府關係全球負責人 
    • Ginny Lee,隱私權副法律顧問 
    • Mara Davis,法遵倫理副總法律顧問
    • 漏洞和錯誤賞金計畫負責人,從 7 月 13 日開始
    • Andy Grant,威懾安全負責人,從 7 月 13 日開始
  • 將 Zoom Phone 新增到了 Zoom 政府解決方案中,這已獲得美國聯邦風險與授權管理計畫 (FedRAMP) 的授權
  • 我們仍然致力於大規模擴編我們在美國的工程團隊,藉以支援亞利桑那州鳳凰城和賓夕法尼亞州匹茲堡的新辦公室出現的使用量增加的情況

未來展望

這段期間我們公司經歷了重大變化,平台的安全、隱私和安全成為了我們工作的重點,爭取不辜負客戶的信任。我對於 Zoom 在處理全球危機時扮演的角色以及過去 90 天中我們的團隊為提升平台安全性而付出的巨大努力感到驕傲。 

不過我們不能也不會就此止步。隱私和安全將一直是 Zoom 的工作重點,這段 90 天期間相當有成效,不過這只是第一步。在這份報告中,我介紹了新流程和新人員的有關資訊,這些新流程和新人員將有助於 Zoom 進一步發展成為世界上最流暢、最安全的視訊通訊平台。

感謝各位對我們使用者的支援、耐心和信任。我們公司的核心價值是關懷,我們希望過去 90 天的行動能夠證明這一點,並在未來繼續踐行這一核心價值。

下載我們重要更新的 PDF 摘要

不要忘記分享此篇發文