يقوم Project Zero بتجربة نموذج جديد للكشف عن الثغرات الأمنية التي ستمنح المزيد من الوقت لمصنعي المعدات الأصلية لطرح التصحيحات للمستخدمين المتأثرين.
يعلن فريق Google Project Zero عن بعض التغييرات الكبيرة في كيفية الكشف عن الثغرات الأمنية للجمهور. منذ إطلاقه، اتبع Project Zero موعدًا نهائيًا صارمًا للإفصاح مدته 90 يومًا. ما يعنيه هذا هو أنه عندما يتم العثور على ثغرة أمنية، فسيقوم Project Zero بذلك انتظر 90 يومًا قبل التوثيق العلني التفاصيل الفنية. وهذا يسمح للبائعين بتصحيح الخلل في برامجهم قبل أن يتمكن المهاجمون من استغلاله.
المشروع صفر هو الآن تجربة نموذج جديد لعام 2021 والذي سيمنح مصنعي المعدات الأصلية شهرًا إضافيًا لطرح التصحيحات للمستخدمين المتأثرين. في وقت سابق، تم التوثيق الفني للثغرة الأمنية بمجرد انقضاء الموعد النهائي المحدد بـ 90 يومًا، بغض النظر عما إذا كان التصحيح قد تم إصداره أم لا. في النموذج الجديد، إذا قام أحد مصنعي المعدات الأصلية (OEM) بإصلاح المشكلة خلال فترة 90 يومًا، فسيتم إصدار الوثائق الفنية بعد 30 يومًا من الإصلاح.
تقول Google إن سياسة 90+30 الجديدة تهدف إلى جعل اعتماد التصحيح جزءًا صريحًا من برنامج الكشف. سيكون أمام البائعين 90 يومًا لتطوير التصحيح و30 يومًا لنشر الإصلاح لمستخدميهم.
"يتيح لنا الانتقال إلى نموذج "90+30" فصل وقت التصحيح عن وقت اعتماد التصحيح، وتقليل الجدل المثير للجدل حول المفاضلات بين المهاجم والمدافع ومشاركة التفاصيل الفنية، مع الدعوة إلى تقليل مقدار الوقت الذي يكون فيه المستخدمون النهائيون عرضة للخطر للهجمات المعروفة،" قال مدير Project Zero تيم ويليس في منشور بالمدونة.
سيتم منح الثغرات الأمنية الموجودة في البرية، والتي يتم استغلالها بشكل نشط، مهلة زمنية مدتها 7 أيام للكشف عنها. ولكن الآن، إذا تم تصحيح المشكلة في غضون 7 أيام، فسوف تنشر Google التفاصيل الفنية بعد 30 يومًا من الإصلاح. في وقت سابق، كانت جوجل تنشر التفاصيل في اليوم السابع بغض النظر عن موعد إصلاح المشكلة. علاوة على ذلك، يمكن للموردين الآن أيضًا طلب فترة سماح مدتها 3 أيام للثغرات الأمنية من هذا النوع، والتي لم يتم تقديمها من قبل.
يقر فريق Project Zero بأن هذه السياسة الجديدة تمثل تراجعًا طفيفًا عن موقفهم السابق، والذي أعطى الأولوية للإفراج السريع عن التفاصيل الفنية للجمهور. ومع ذلك، يشير الفريق إلى أن هذه السياسة المخففة لن تستمر لفترة طويلة حيث أنهم سيتطلعون إلى تقصير الموعد النهائي للإفصاح في المستقبل القريب. وألمح الفريق إلى أنه في عام 2022، من المحتمل أن ينتقلوا إلى نموذج 84+28.