執行長報告：90 天計畫已完成，Zoom 未來展望

在 2020 年的前幾個月，Zoom 團隊夜以繼日支援我們平台上大量出現的新使用者和不同類型使用者。外界對於我們系統的需求量突然大增，大多數公司從未經歷過如此的情況。隨著 3 月即將結束，我們意識到，對於數億位日常與會者提供無摩擦視訊通訊的特別使命需要同等關注安全性和隱私權，我們需要在這兩方面做更多努力。

2020 年 4 月 1 日，我們承諾提供多項安全性與隱私權方面的強化功能。我們當天推出了一項為期 90 天的計畫，將公司的工作重點轉移到了 7 項承諾上，力求透過這些承諾將安全性與隱私權永久刻入 Zoom 的企業核心中。今天，我將介紹這些承諾的最新現況，並展望我們的未來。

承諾 1：從 4 月 1 日起實行功能凍結，集中我們的所有工程資源處理最緊要的信任、安全和隱私權問題。

狀態：我們對與隱私、安全或保全無關的所有功能實行了 90 天的凍結。 我們將所有工程和產品資源集中到這個方向，發佈了 100 多種功能，其中包括：

• Zoom 5.0
  • 為所有會議啟用進階加密標準 (AES) 256 位元 GCM 加密 (所有免費和付費使用者均可使用)。如需詳細資訊，請參閱 https://support.zoom.us/hc/en-us/articles/360043555772
  • 使用者介面更新 - 安全圖示，綠色加密盾以及按一下即可查看資料中心位置
  • 檢舉使用者
  • 會議預設 - 密碼、等候室和有限的畫面分享
  • 其他功能 - 主持人停用多裝置登入、解除靜音同意、雲端錄製內容到期日、更嚴格的 Zoom Team Chat 控制項等等
• 併購 Keybase，並開始建立端對端加密 (包括免費和付費的所有使用者)
• Zoom 可供客戶選擇 Zoom 資料中心，當擁有付費帳戶的客戶主持會議或網路研討會時，資料中心將用於處理特定客戶資料

展望未來，我們建立了一系列機制，以確保在我們產品和功能開發的每個階段都始終將安全和隱私作為首要之務：

• 設計階段：安全要求、風險評估、威脅模型
• 建構：安全代碼準則、自助掃描、CI/CD 工具
• 測試：安全測試、自動測試執行、網路測試工具
• 發佈：安全配置、完整性監視、驗證要求
• 生產：監控系統安全、系統健全情況、威脅態勢

承諾 2：與第三方專家和使用者代表進行全面檢討，瞭解並確保所有新使用案例的安全和隱私。

現況：我們與第三方專家小組合作進行審查，並強化我們的產品、實務作法和政策，包括 CISO 諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Bit of Bits、NCC 集團、Praetorian、Crowdstrike、 Center for Democracy 以及隱私權、安全性與包容性領域的其他組織。這份名單中的每個人都做出重大的貢獻，我們相當感謝這些人的協助。 

承諾 3：準備詳盡說明資料、記錄或內容請求相關資訊的透明報告。

現況：為資訊透明報告透明制定架構和方法時，我們獲得了重大進展，報告會詳盡說明 Zoom 收到的資料、錄製或內容請求。我們期待在今年稍後的第一份報告中提供第二季財務資料。同時，我們最近針對如何因應政府要求製作了指南。並更新了隱私權政策，主要是為了使這些政策更容易瞭解，並個別新增了加州隱私權聲明。您可以在 zoom.com/zh-tw/privacy-and-legal 找到這些文件。

承諾 4：強化我們目前的錯誤賞金計畫。

現況：我們已研擬集中錯誤存放庫及相關的工作流程。這個存放庫接受 HackerOne、Bugcrowd 和 security@zoom.us (後者不需要 NDA) 所提供之透過 Praetorian 進行分類的弱點報告。我們透過每日會議建立持續的審查程序，並改善與安全研究人員和第三方評估人員的協調。我們也聘請弱點與漏洞懸賞主管、增額多位應用程式安全工程師，同時正在招募更多安全性工程師，這些人員均將專職處理弱點的相關事宜。同時，我們專注於縮短回應時間。整體而言，我們的漏洞懸賞計畫相當可靠，而且隨著招募目標的達成，會變得更加強大。我們感謝 Luta Security 在過程中提供的協助。

承諾 5：與來自各個行業的領先資安長合作，成立資安長委員會，開展有關安全和隱私權最佳做法的持續對話。

現況：我們成立了 CISO 理事會，由來自各個產業的 36 位資安長組成，其中包括 SentinelOne、亞利桑那州立大學、匯豐銀行和 Sanofi。在副資訊長 Gary Sorrentino 的帶領下，該理事會在過去三個月中召開了四次會議，針對一些重要事項提供了意見，例如區域資料中心的選擇、加密、會議驗證以及檢舉使用者、密碼和等候室等功能。理事會的運作相當成功，我們將透過資安長圓桌會議，擴展這項計畫，促進資安長客戶與我們的安全團隊負責人之間的互動討論，藉以瞭解和評估 Zoom 所做的工作，確保我們平台未來的安全與隱私。感興趣的資安長和資訊長，可以洽詢 Zoom 帳戶主管瞭解詳情。

承諾 6：透過一系列同時進行的白箱滲透測試，進一步發現並解決問題。

狀態：Zoom 聘請了多家公司 (Trail of Bits、NCC Group 和 BishopFox) 檢討我們的整個平台。 他們的工作範圍包括：

• Zoom 生產環境，包括公共與代管資料中心：
  • 雲端配置
  • 外部 IP 空間
  • 內部生產網路

• Zoom 核心網路應用程式和 Zoom 企業網路：
  • 內部網路
  • 外部週邊
• 通用用戶端的公共 API
  • 行動用戶端
  • 桌面用戶端

Zoom 致力於進行連續的第三方滲透測試，以此做為安全計畫的基礎。

承諾 7：每週三舉辦每週一次的網路研討會，向我們的社群提供隱私和安全更新。

現況：包括今天的網路研討會在內，自 4 月 1 日起，每個週三舉辦的網路研討會已舉行 13 場。我們的許多高階主管和顧問出席了這些研討會，在現場回答與會者的問題。另外，我們每週三還會在部落格上分享網路研討會的概要和錄影。我們將會持續主辦這些網路研討會，下一次會是在 7 月 15 日，然後即轉為月會。

其他重要更新

我們也採取了一些其他的重要措施：

• 自從 4 月 1 日以來，我們進行了多次重要領導階層補強或異動，其中包括：
  • Velchamy Sankarlingam，產品與工程總裁
  • Jason Lee，資訊安全長
  • Damien Hooper-Campbell，多元化長
  • Aparna Bawa 出任營運長，目前負責 Zoom 的安全工作
  • 副總法律顧問兼法遵倫理長 Lynn Haaland 出任隱私長
  • H.R. McMaster 加入 Zoom 董事會
  • Josh Kallmer，公共政策與政府關係全球主管
  • Ginny Lee，隱私權副首席顧問
  • Mara Davis，法遵倫理副總法律顧問
  • 漏洞和錯誤賞金計畫負責人，從 7 月 13 日開始
  • Andy Grant，威懾安全負責人，從 7 月 13 日開始
• Zoom Phone 已新增到 Zoom 政府版中，並獲得美國聯邦風險與授權管理計畫 (FedRAMP) 授權
• 我們仍致力於擴編美國的工程團隊，以支援亞利桑那州鳳凰城和賓州匹茲堡新辦公室激增的使用量

未來展望

這段期間我們公司歷經了重大變化，平台的安全保障、安全性與隱私權成為了我們工作的重點，努力不懈只為不辜負客戶的信任。我對於 Zoom 在處理全球危機時扮演的角色，以及過去 90 天中我們的團隊為提升平台安全性而付出的巨大努力而感到驕傲。

不過我們不能也不會就此止步。 隱私和安全將一直是 Zoom 的工作重點，這段 90 天期間相當有成效，不過這只是第一步。 在這份報告中，我介紹了新流程和新人員的有關資訊，這些新流程和新人員將有助於 Zoom 進一步發展成為世界上最流暢、最安全的視訊通訊平台。

感謝各位對我們使用者的支援、耐心和信任。 我們公司的核心價值是關懷，我們希望過去 90 天的行動能夠證明這一點，並在未來繼續踐行這一核心價值。

下載我們的關鍵更新摘要 PDF 文件

編輯註釋：此篇文章更新於 2020 年 11 月 6 日，以釐清有關自訂資料路由設定的語言。

編輯註釋：此部落格貼文於 2023 年 4 月 20 日編輯，加入最新的資料路由控制功能相關資訊。