Project Zero изпробва нов модел за разкриване на уязвимости, които ще дадат повече време на OEM производителите да пуснат корекции на засегнатите потребители.
Екипът на Google Project Zero обявява някои големи промени в начина, по който разкрива на обществеността уязвимостите в сигурността. От стартирането си Project Zero следва строг 90-дневен краен срок за разкриване. Това означава, че когато се открие уязвимост, Project Zero ще го направи изчакайте 90 дни преди публично документиране техническите подробности. Това позволява на доставчиците да коригират пропуска в своя софтуер, преди нападателите да могат да го експлоатират.
Project Zero е сега изпробване на нов модел за 2021 г., което ще предостави на производителите на оригинално оборудване допълнителен месец за пускане на корекции на засегнатите потребители. По-рано техническата документация за уязвимост се случваше веднага след изтичане на 90-дневния срок — независимо дали е издадена корекция или не. В новия модел, ако OEM коригира проблема в рамките на 90-дневния период, техническата документация ще се случи 30 дни след корекцията.
Google казва, че новата политика 90+30 има за цел да превърне приемането на корекцията в изрична част от програмата за разкриване на информация. Доставчиците ще имат 90 дни, за да разработят корекцията и 30 дни, за да пуснат корекцията на своите потребители.
"Преминаването към модел "90+30" ни позволява да отделим времето за корекция от времето за приемане на корекцията, да намалим спорния дебат около компромиси между нападател/защитник и споделяне на технически подробности, като същевременно се застъпва за намаляване на времето, през което крайните потребители са уязвими на известни атаки,“ каза мениджърът на Project Zero Тим Уилис в публикация в блог.
Уязвимостите в дивата природа, които се експлоатират активно, все пак ще получат 7-дневен срок за разкриване. Но сега, ако даден проблем бъде коригиран в рамките на 7 дни, Google ще публикува техническите подробности 30 дни след коригирането. По-рано Google публикуваше подробностите на 7-ия ден, независимо кога проблемът беше отстранен. Освен това доставчиците вече могат също да поискат 3-дневен гратисен период за уязвимости от това естество, което не беше предлагано преди.
Екипът на Project Zero признава, че тази нова политика е лека регресия от предишната им позиция, която дава приоритет на бързото оповестяване на технически подробности на обществеността. Екипът обаче отбелязва, че тази облекчена политика няма да се задържи твърде дълго, тъй като те ще се стремят да съкратят крайния срок за разкриване в близко бъдеще. Екипът намекна, че за 2022 г. вероятно ще преминат към модел 84+28.