سينتظر فريق أمان Project Zero من Google الآن فترة 90 يومًا كاملة قبل الكشف عن نقاط الضعف التي يكتشفونها.
Project Zero هو قسم أمني تستخدمه شركة Google تأسست في عام 2014. تتمثل المهمة الأساسية للفريق في اكتشاف ثغرات يوم الصفر - أي نقاط الضعف غير المعروفة (أو التي لم تتم معالجتها من قبل) الطرف الذي ينبغي أن يكون مهتمًا بتخفيفها. "نزيف القلب" هو أحد استغلالات يوم الصفر هذه، والتي تم الإبلاغ عنها بشكل خاص بواسطة فريقين أمنيين منفصلين إلى OpenSSL. كان أحد فرق الأمان هذه يعمل تحت إشراف Google وأدى في النهاية إلى إنشاء Project Zero. تم اكتشاف الخطأ في أبريل 2014، وتم إصدار نسخة OpenSSL مع إصلاح الخطأ بعد بضعة أيام مع الكشف الكامل عن الخطأ. ويعني هذا الكشف الكامل أن الأنظمة التي لم يتم تحديثها على الفور كانت معرضة للخطر، على الرغم من أن ذلك بشكل عام يعمل كحافز لفرق المطورين لتحديث برامجهم.
ومنذ ذلك الحين، عمل مشروع Google Project Zero بطريقة مماثلة. عندما يتم اكتشاف خطأ يوم الصفر، يقوم الفريق بإبلاغه بشكل خاص إلى أي شركة تمتلك البرنامج. من تاريخ الكشف، لدى الشركة 90 يومًا لإصلاح الخلل. إذا قاموا بإصلاحها قبل اكتمال فترة الـ 90 يومًا، فستقوم Google بنشر تفاصيل الثغرة الأمنية. إذا مرت 90 يومًا دون إصلاحها، فسيقوم الفريق بتحرير الثغرة الأمنية على أي حال، وهو ما يهدف إلى تحقيقه يدرك المستخدمون المشكلات التي قد تواجهها البرامج التي يستخدمونها، مع احتمالية تحفيز الشركة على العمل أسرع. هناك عيب واحد يدركه البائعون في هذا النظام، وكما هو الحال مع Heartbleed، فهو أن المستخدمين (أو المطورين) قد لا يتمكنون من ترقية أنظمتهم بالسرعة الكافية قبل أن يصبحوا ضحية استغلال. لهذا السبب، أعلن فريق Project Zero أنه على مدار العام، يقومون بالتجربة لمدة 90 يومًا بغض النظر عن مدى سرعة (أو بطء) إصلاح الثغرة الأمنية.
لن تتأثر سياسة Google الخاصة بالكشف عن الأخطاء خلال 7 أيام إذا وجدوا دليلاً على استغلال الأخطاء في البرية. وفي نفس منشور المدونة، أعلن فريق Project Zero أيضًا عن عدد من التغييرات الصغيرة الأخرى. وتفخر Google أيضًا بالإعلان عن إصلاح 97.7% من جميع المشكلات التي تكتشفها خلال فترة 90 يومًا. يمكنك قراءة مشاركة المدونة الكاملة أدناه.
مصدر: مشروع جوجل صفر