執行長報告：Zoom 完成90天資安計畫後的下一步
Eric S. Yuan

在2020年的前幾個月，Zoom團隊努力不懈地支持大量湧入平台上全新和不同類型的用戶。我們系統突然面臨的大量需求，這是沒有任何其他公司曾經歷過的。當3月即將結束時，Zoom意識到我們的獨特使命 - 為數以億計的日常會議參與者提供無縫視訊通訊服務 – 及對安全性和隱私的關注，我們在這領域上還需要繼續努力。

Zoom於2020年4月1日承諾數項針對安全性和隱私性的加強措施，並於當天推出90天資安強化計劃，重新聚焦了公司的7個承諾，將安全性和隱私永久嵌入到Zoom的DNA中。今天，Zoom將針對每一項承諾提供最新近展，並同時分享Zoom的下一步。

第一個承諾：自4月1日起凍結新增功能，並將所有的工程資源轉移專注於我們最大的信任、安全和隱私問題。
進展：我們對與隱私或安全性無關的所有功能實行了90天的凍結，並在將所有工程和產品資源投入在安全和隱私方面上後，推出了上百種功能。其中包括：
• Zoom 5.0
o AES 256 GCM 加密（適用於所有用戶，包括免費和付費用戶）
o 使用者介面更新 - 安全圖示，提供資料中心位置的綠色加密盾
o 舉報使用者
o 會議預設設定 - 密碼、等候室和有限的螢幕共享
o 其他功能 - 會議主持人可禁用多裝置登錄、取消靜音、雲端錄影失效期、對Zoom Chat的更嚴格控制等
• 完成收購Keybase並開始建構端對端加密（適用於所有用戶，包括免費和付費用戶）
• 按地理位置決定數據路徑的功能


第二個承諾：與第三方專家和代表性用戶一同進行全面審查，了解並確保所有新使用案例的安全性和隱私性。
進展：我們已經與一群第三方專家合作，審查和改進我們的產品、做法和政策。這群專家包括我們的CISO諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy and Technology以及其他在隱私、安全性和包容性領域的組織。

第三個承諾：增強我們現有的程式漏洞賞金計畫。
進展：我們目前已經開發了一個中央程式漏洞資料庫和相關的工作流程。此資料庫從HackerOne、Bugcrowd和security@zoom.us（後者不需要簽署NDA）中擷取經過Praetorian資安解決方案診斷後產出的漏洞報告。我們透過日常會議建立持續的審查流程機制，並改善與安全研究人員和第三方審查人員的合作。我們還聘請了程式漏洞和漏洞賞金計畫的負責人、多位AppSec工程師，並持續招募更多的安全工程師，這些人才都致力於解決漏洞問題。

除了以上承諾之外，Zoom另外的四項承諾包括: 準備透明度報告詳細說明任何數據、記錄或內容的請求; 與業界其他領導級的資安長合作成立資安長委員會（CISO council）; 參與一系列的白箱滲透測試服務以更進一步的辨別和解決問題; 並於每週三舉辦線上研討會，以向我們的社群提供隱私和安全保障更新等。


我們的下一步
Zoom在這一段時間經歷了有意義的變化，在努力贏得客戶對我們的信任過程中，平台的安全與隱私性已成為我們工作的首要之務。我對於Zoom能協助處於危機中的世界維持聯繫，以及團隊過去90天增強平台安全性所做出的努力感到相當驕傲，但也感到謙卑。

我們不能也不會停止，隱私和安全性將持續是Zoom的工作重點，這90天的期間雖然有相當成效，但這只是我們的第一步。在以上報告中，我分享了有助於Zoom邁向世界上最流暢、最安全的視訊通訊平台的全新流程和新加入的人員。