首席执行官报告:90 天计划结束,Zoom 未来展望

首席执行官报告:90 天计划结束,Zoom 未来展望

2020 年前几个月,Zoom 团队夜以继日,竭力为平台涌入的大量新用户提供支持。我们平台的需求量经历了大多数公司未曾有过的骤然增长。在 3 月接近尾声之际,我们意识到,要践行我们为每日数亿的参会者提供顺畅视频通信体验的使命,需要对安全和隐私给予同样的重视,在这两方面我们需要付出更多努力。

于是在 2020 年 4 月 1 日,我们做出承诺,要推出一系列强化功能来解决安全和隐私问题。我们于当天公布了 90 天计划,该计划将我们的工作重心重新转向了 7 大承诺,力求通过这 7 大承诺将安全和隐私永久注入 Zoom 的 DNA。今天,我将介绍一下我们各项承诺的状态更新,并分享我们对未来工作的展望。

承诺 1实行特性冻结(4 月 1 日生效),将我们的所有资源集中用于解决我们最紧要的信任、安全和隐私问题。

状态:我们对所有与隐私、安全或保障无关的功能特性实行了为期 90 天的冻结。将所有工程和产品资源集中于隐私安全领域,我们发布了超过 100 项这方面的功能,包括:

  • Zoom 5.0
    • AES 256 GCM 加密(可用于所有用户,包括免费和付费用户)
    • UI 更新 – 安全图标,绿色加密盾,以及可点击浏览的数据中心位置
    • 举报用户
    • 会议默认设置 – 密码、等候室和有限的屏幕共享
    • 其他功能 – 主持人禁用多设备登录、解除静音许可、云录制内容有效期以及更严格的 Zoom Chat 控件等等。
  • 收购了 Keybase 并开始构建端对端加密(面向所有用户,包括免费和付费用户)
  • 提供按地理位置划分的自定义数据路由

展望未来,我们实行了一系列相应机制,来确保产品和功能开发的每个阶段始终将安全和隐私摆在首位:

  • 设计阶段:安全要求、风险评估、威胁建模
  • 构建:安全代码准则、自助扫描、CI/CD 工具
  • 测试:安全测试、自动化测试执行、Web 测试工具
  • 阶段:安全配置、完整性监控、验证要求
  • 生产:监控系统安全性、系统健康、威胁状况

承诺 2通过第三方专家和用户代表进行全面审查,充分了解并确保我们所有新用例的安全和隐私。

状态:我们与众多第三方专家合作,审查并强化我们的产品、实践和政策,包括我们的首席信息安全官 (CISO) 顾问委员会、Lea Kissner、Alex Stamos、Luta 安全、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、民主与技术中心以及隐私、安全和包容性领域的其他组织。所有这些专家和专业组织都为我们提升产品安全性和隐私性做出了巨大贡献,我们对此深表感激。

承诺 3编制包含数据、记录或内容请求相关详细信息的透明报告。

状态:我们在编制透明报告的框架和方法方面取得了重大进展,该报告详细说明 Zoom 收到的有关数据、记录或内容请求的信息。我们有望在今年晚些时候的第一份报告中发布第二季度的财务数据。与此同时,我们最近制定了一份关于如何应对政府请求的指南。另外我们还更新了隐私政策,主要是使其更容易理解,并且增加了单独的《加州隐私权声明》。您可以在 zoom.com/zh-cn/privacy-and-legal 上找到上述文档。

承诺 4改进我们目前的漏洞报告奖励计划。

状态:我们开发了中央漏洞库及相关工作流程。此信息库接受来自 HackerOne、Bugcrowd 和 security@zoom.us(后者不需要 NDA)的经过 Praetorian 筛选的漏洞报告。我们建立了持续的每日会议审查流程,并且改进了与安全研究人员及第三方评估人员的协作。我们还雇用了一位漏洞报告奖励主管、多名额外的应用安全工程师,并且目前正在招聘更多安全工程师,所有这一切都是为了解决漏洞问题。与此同时,我们还专注于改善响应时间。总体而言,我们的漏洞报告奖励流程十分稳健,并将随着我们达成招聘目标变得更加强大。非常感谢 Luta Security 在这方面为我们提供的帮助。

承诺 5与各行业首席信息安全官合作,建立 CISO 委员会,推进关于安全性与私密性最佳实践的持续对话。

状态:我们启动了 CISO 委员会,该委员会由来自各个行业的 36 位首席信息安全官组成,包括 SentinelOne、亚利桑那州立大学、HSBC 和 Sanofi。在副首席信息官 Gary Sorrentino 的主持下,该委员会过去三个月内举行了四次会议,并就区域数据中心选择、加密、会议身份验证等重要事项以及举报用户、密码和等候室等功能提供了建议。事实证明,该委员会的成立是一项巨大成功,我们将通过首席信息安全官圆桌会议继续拓展这一项目 — 通过在首席信息安全官客户与我们的安全团队领导之间开展互动式讨论,来使他们了解 Zoom 为确保平台的安全和隐私已经采取和将在未来采取的措施。感兴趣的首席信息安全官和首席信息官们可以向 Zoom 业务代表了解更多信息。

承诺 6通过一系列同时进行的白盒渗透测试进一步发现并解决问题。

状态:Zoom 与包括 Trail of Bits、NCC Group 和 Bishop Fox 在内的多家企业合作,审查我们的整个平台。他们的审查范围包括:

  • Zoom 生产环境,包括公共和主机托管数据中心:
    • 云配置
    • 外部 IP 空间
    • 内部生产网络
  • Zoom 核心 Web 应用和 Zoom 企业网络:
    • 内部网络
    • 外围
  • 通用客户端的公共 API
    • 移动客户端
    • 桌面客户端

Zoom 致力于将持续的第三方渗透测试作为安全计划的基础。

承诺 7每周三举行每周网络研讨会,向用户介绍我们在安全和隐私方面的最新更新。

状态:包括今天的网络研讨会在内,自 4 月 1 日起的每周三,我们总共已举行了 13 场网络研讨会。在这些研讨会中,我们的多位高管和顾问实时解答观众的问题。另外,我们还每周三在博客上分享网络研讨会的回顾和录像。我们将继续举行这些研讨会,下一场为 7 月 15 日,然后变为每月一次。

其他关键更新

我们还采取了一些其他的重要措施:

  • 自 4 月 1 日起,我们增添或更换了几位关键领导,包括:
    • Aparna Bawa 被任命为首席运营官,现负责监督 Zoom 的安全工作
    • 副法律总顾问兼首席合规和道德官 Lynn Haaland 被任命为首席隐私官
    • Ginny Lee,隐私事务副法律总顾问
    • Mara Davis,合规和道德事务副法律总顾问
    • 漏洞报告奖励计划主管,7 月 13 日开始
    • Andy Grant,威慑安全主管,7 月 13 日开始
  • Zoom Phone 加入 Zoom 政府解决方案,已获得美国联邦风险和授权管理计划 (FedRAMP) 授权
  • 我们始终致力于大力发展我们在美国的工程团队,通过位于亚利桑那州菲尼克斯和宾夕法尼亚州匹兹堡的新办公室为不断增加的新用户提供支持

未来展望

这段时期给我们公司带来了重大变化,平台的安全和隐私成为了我们所有工作的核心,我们尽一切努力,争取不辜负客户对我们的信任。对于 Zoom 在这场危机中为全世界人们的通信发挥的作用,以及我们团队过去 90 天中在改进平台安全性方面取得的成就,我深感自豪。

但是,我们不会就此止步。隐私和安全是 Zoom 的长期任务,虽然过去 90 天成果斐然,但这仅仅是第一步。上面介绍了我们的一些新流程和新人员的信息,这些新的流程和人员将帮助 Zoom 成为全世界最顺畅、最安全的视频通信平台。

感谢广大用户的支持、信任和耐心陪伴。我们公司以关怀为核心价值观,我们希望您能在我们过去 90 天的行动中感受到我们对用户的关怀 — 未来我们将继续通过行动践行这一价值观。

记得分享本博文