首席执行官报告:90 天计划结束,Zoom 未来展望

首席执行官报告:90 天计划结束,Zoom 未来展望

2020 年前几个月,Zoom 团队夜以继日,为平台涌入的大量新用户提供支持。我们平台的需求量经历了大多数公司从未有过的巨大增长。随着 3 月底接近尾声,我们意识到,要给我们每日数亿的参会者提供顺畅的视频通信体验,应对安全和隐私给予同样的重视,在这两方面需要付出更多努力。 

于是,2020 年 4 月 1 日,我们宣布推出一系列强化功能来解决安全和隐私问题。我们于当天公布了 90 天计划,该计划聚焦 7 大承诺,力求通过这 7 大承诺将安全和隐私永久注入 Zoom 的 DNA。今天,我要介绍一下各项承诺的最新状态,同时展望一下我们的未来。 

承诺 #1:实行特性冻结(4 月 1 日生效),将我们的所有资源集中解决最紧迫的信任、安全和隐私问题。

状态:我们对所有与隐私、安全或保障无关的功能特性实行了为期 90 天的冻结。我们将所有工程设计和产品资源集中于隐私安全强化,发布了超过 100 种这方面的功能,包括:

  • Zoom 5.0
    • 对所有会议启用 AES 256 位 GCM 加密(面向所有用户,包括免费和付费用户) 欲了解更多信息,请访问:https://support.zoom.us/hc/zh-cn/articles/360043555772
    • UI 更新 – 安全图标,绿色加密盾,以及可点击查看数据中心位置
    • 举报用户
    • 会议默认设置 – 口令、等候室和有限屏幕共享
    • 其他功能 – 主持人禁用多设备登录、解除静音许可、云录制内容有效期以及更严格的 Zoom Chat 控件等等
  • 收购 Keybase 并开始构建端对端加密(面向所有用户,包括免费和付费用户)
  • 提供按地理位置划分的自定义数据路由

展望未来,我们实施了一系列机制,来确保产品和功能开发的每个阶段始终将安全和隐私摆在首位:

  • 设计阶段:安全要求、风险评估、威胁建模 
  • 构建:安全代码准则、自助扫描、CI/CD 工具
  • 测试:安全测试、自动化测试执行、Web 测试工具
  • 上线:安全配置、完整性监控、验证要求
  • 生产:监控系统安全、系统健康、威胁状况 

承诺 #2:通过第三方专家和用户代表进行全面审查,以充分了解并确保所有新用例的安全和隐私。

状态:我们与众多第三方专家合作,审查并强化我们的产品、实践和政策,包括我们的首席信息安全官 (CISO) 顾问委员会、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、民主与技术中心以及隐私、安全和包容性领域的其他组织。所有这些专家和专业组织为我们提升产品安全性和隐私性做出了巨大贡献,我们对此深表感激。 

承诺 #3:编制包含数据、记录或内容请求相关详细信息的透明报告

状态:我们在确定透明报告框架和编制方法方面取得了重大进展,该报告可详细说明 Zoom 收到的数据、记录或内容请求的相关信息。我们预计将在今年晚些时候的第一份报告中发布第二季度的财务数据。与此同时,我们最近制定了一份关于如何应对政府请求的指南。另外我们还更新了隐私政策,主要是使其更容易理解,并且增加了单独的《加州隐私权声明》。您可以在 zoom.com/zh-cn/privacy-and-legal 上找到上述文档。

承诺 #4:改进我们目前的漏洞报告奖励计划。

状态:我们开发了中央漏洞库及相关工作流程。此漏洞库接收来自 HackerOne、Bugcrowd 和 security@zoom.us(后者不需要 NDA)的经过 Praetorian 筛选的漏洞报告。我们建立了持续的每日会议审查流程,并且改进了与安全研究人员及第三方评估人员的协作。我们还雇用了一位漏洞报告奖励主管、多名额外的应用安全工程师,并且目前正在招聘更多安全工程师,所有这一切都是为了解决漏洞问题。与此同时,我们还专注于缩短响应时间。总体而言,我们的漏洞报告奖励流程十分稳健,并将随着我们招聘目标的达成变得更加强大。非常感谢 Luta Security 在这方面为我们提供的帮助。

承诺 #5:与各行业首席信息安全官 (CISO) 合作,建立 CISO 委员会,开展关于安全性与私密性最佳实践的持续对话。

状态:我们建立了 CISO 委员会,该委员会由来自各个行业的 36 位首席信息安全官组成,包括 SentinelOne、亚利桑那州立大学、HSBC 和 Sanofi。该委员会由副首席信息官 Gary Sorrentino 领导,过去三个月内举行了四次会议,就区域数据中心选择、加密、会议身份验证等重要事项以及举报用户、口令和等候室等功能提供了建议。事实证明,该委员会的成立是一项巨大成功,我们将通过首席信息安全官圆桌会议继续拓展这一项目 — 通过在首席信息安全官客户与我们的安全团队领导之间开展互动式讨论,使他们了解 Zoom 为确保平台的安全和隐私已经采取和将在未来采取的种种措施。感兴趣的首席信息安全官和首席信息官可以联系 Zoom 客户代表了解更多信息。  

承诺 #6:通过一系列同时进行的白盒渗透测试进一步发现并解决问题。

状态:Zoom 与包括 Trail of Bits、NCC Group 和 Bishop Fox 在内的多家企业合作,审查我们的整个平台。审查范围包括:

  • Zoom 生产环境,包括公共和主机托管数据中心: 
    • 云配置
    • 外部 IP 空间
    • 内部生产网络
  • Zoom 核心 Web 应用和 Zoom 企业网络:
    • 内部网络
    • 外围
  • 通用客户端的公共 API
    • 移动客户端
    • 桌面客户端

Zoom 致力于以持续的第三方渗透测试为基础推行安全计划。 

承诺 #7:每周三举行每周网络研讨会,向用户介绍我们在安全和隐私方面的最新更新。

状态:包括今天的网络研讨会在内,自 4 月 1 日起的每周三,我们总共已举行了 13 场网络研讨会。在这些研讨会中,我们的多位高管和顾问实时解答了观众的问题。另外,我们还每周三在博客上分享网络研讨会的回顾和录像。我们将继续举行这些研讨会,下一场为 7 月 15 日,然后变为每月一次。 

其他关键更新

我们还采取了一些其他的重要措施:

  • 自 4 月 1 日以来,我们增添/更换了几位关键领导,包括: 
    • Velchamy Sankarlingam,产品和工程总裁 
    • Jason Lee,首席信息安全官
    • Damien Hooper-Campbell,首席多元化官
    • Aparna Bawa 被任命为首席运营官,现负责监督 Zoom 的安全工作
    • 副法律总顾问兼首席合规和道德官 Lynn Haaland 被任命为首席隐私官
    • H.R. McMaster 加入 Zoom 董事会
    • Josh Kallmer,全球公共政策和政府关系主管 
    • Ginny Lee,隐私事务副法律总顾问 
    • Mara Davis,合规和道德事务副法律总顾问
    • 漏洞报告奖励计划主管,7 月 13 日开始
    • Andy Grant,威慑安全主管,7 月 13 日开始
  • Zoom Phone 加入了 Zoom 政府解决方案,该方案已获得美国联邦风险和授权管理计划 (FedRAMP) 的授权
  • 我们始终致力于大力发展我们在美国的工程团队,通过位于亚利桑那州菲尼克斯和宾夕法尼亚州匹兹堡的新办公室为不断增加的新用户提供支持

未来展望

这段时期我们公司经历了重大变化,平台的安全和隐私成为了我们所有工作的核心,我们尽一切努力,争取不辜负客户对我们的信任。Zoom 在这场危机中为全世界人们的通信发挥了积极作用,我们团队过去 90 天中在改进平台安全性方面取得了巨大成果,对此我深感自豪。 

但是,我们不会就此止步。隐私和安全是 Zoom 的长期任务,虽然过去 90 天成果斐然,但这仅仅是第一步。上面介绍了我们的一些新流程和新人员,这些新的流程和人员将帮助 Zoom 成为全世界最顺畅、最安全的视频通信平台。

感谢广大用户对 Zoom 的支持和信任。我们以关怀为核心价值观,我们希望您能在我们过去 90 天的行动中感受到我们对用户的关怀 — 未来我们将继续通过行动践行这一价值观。

下载关键更新的 PDF 摘要

记得分享本博文

您也可能喜欢