90 天安全计划进度报告:6 月 24 日

90 天安全计划进度报告:6 月 24 日

随着改进平台安全与隐私的 90 天计划持续进行,本周“对话袁征”网络研讨会重点介绍了近期产品安全更新,包括围绕漏洞报告奖励计划的工作以及 5.1.1 客户端版本附带的更新。

Zoom 首席执行官袁征与 Zoom 产品和工程总裁 Velchamy Sankarlingam、Zoom 首席产品官 Oded Gal 以及 Zoom 产品安全主管 Randy Barr 共同参与了本周研讨会。

Zoom 首席技术官 Brendan Ittelson、Zoom 隐私和安全顾问 Alex Stamos 以及 Zoom 副法律总顾问兼首席合规和道德官 Lynn Haaland 参与了问答环节。

宣布 Jason Lee 任首席信息安全官

袁征在网络研讨会开头宣布,Zoom 聘请 Jason Lee 担任新的首席信息安全官,生效日期为 2020 年 6 月 29 日。Lee 曾担任 Salesforce 的安全运营高级副总裁和 Microsoft 的安全工程总监,在信息安全和关键任务服务运营方面拥有 20 年的专业知识积累。在我们不断努力改进产品安全和隐私的过程中,Jason 将发挥重大作用,帮助我们构建更安全的平台。

产品更新

本周末,我们将推出 5.1.1 客户端及网页版,其中包括以下变更:

  • 集中管理的虚拟背景:账户管理员可以管理组织使用的虚拟背景,提供预批准背景列表,供用户从中选择。
  • 门户网站会议设置安全标题:安全标题将显示在门户网站的会议设置中,将密码、等候室和身份验证方法等安全相关设置集中到一处方便找到的位置。
  • Zoom Chat 更新 用户可以对外部联系人隐藏自己的在线状态,并可选择禁止外部联系人为频道或群聊添加新用户。

介绍 Velchamy Sankarlingam

袁征介绍了 Velchamy Sankarlingam,他是 VMware 的前任云服务开发与运营高级副总裁,现已加入 Zoom 担任产品和工程总裁。作为云与协作软件资深专家,Velchamy 拥有二十余年的经验,为团队带来了丰富的经验和知识,我们很高兴能由他来监督我们的产品、工程和开发运营团队工作。

新会议安全要求

自 7 月 19 日起,付费和免费账户的所有会议将需要启用密码或等候室,以确保会议更加安全、更有保障。如果两者皆未启用,Zoom 将为您的会议启用等候室。如果已经启用密码或等候室,您安排会议的方式不会有变化。如果要为现有会议添加密码,则需要重新发送日历邀请以包括密码,但对于已启用密码的新会议,会议邀请中将自动包括密码。如果已启用等候室,您安排会议的方式不会有变化。

漏洞报告奖励计划更新

Randy 提供了漏洞报告奖励和漏洞披露计划更新。作为 90 天计划的一部分,我们一直在评估内部漏洞处理流程和所用漏洞报告奖励平台的有效性。为改进漏洞报告奖励计划和漏洞披露工作,我们开发了中央漏洞库及相关工作流程,从而与 ISO 29147 和 30111 保持一致。此信息库接受来自 HackerOne、Bugcrowd 和 security@zoom.us(后者不需要 NDA)的经过 Praetorian 筛选的输入数据。我们建立了通过每日会议进行的持续审查流程,并且改进了与安全研究人员及第三方评估人员的协作。

问答

如何向 Zoom 报告漏洞报告奖励?

您可以将漏洞报告奖励提交结果发送至 security@zoom.us,我们的专门团队将审查每份提交结果并安排专人解决问题。

是否仍为付费和免费账户提供加密?

是的,付费和免费账户的所有会议将使用 AES 256 位 GCM 加密方法进行加密。我们还将为免费和付费账户提供会议的端对端加密,创造高度安全的会议环境。

Zoom 是否收集或出售用户数据?

当客户使用我们的平台时,Zoom 收集提供服务所需的信息,例如 IP 地址;但是,Zoom 不曾也绝不会出售用户数据。

Zoom 能否添加允许管理员在全局级别重置密码和等候室设置的选项?

作为账户管理员,您可以在账户级别启用甚至锁定这些设置,这将默认为所有会议和用户启用这些安全设置。您也可以在群组或用户级别启用密码和等候室。

等候室如何发挥作用?

等候室启用时,参会者将被置于一个虚拟休息室,主持人可以在其中查看试图加入会议的人员并准许其加入,可逐个准许或一次性全部准许。等候室功能可以在账户、群组、用户或会议级别启用。

感谢您的支持

感谢您参加本周的研讨会,并向所有给我们提出问题的人表示感谢!感谢您的一路相伴和支持,让我们携手将 Zoom 打造为全球最安全的企业通信平台。

如果您错过本周会议,可以观看此处的录制视频:

如需向 Zoom 提供反馈或提出问题,请发送电子邮件至 answers@zoom.us。欢迎注册参加下周的“对话袁征”网络研讨会

记得分享本博文