Екипът за сигурност на Project Zero на Google сега ще изчака пълните 90 дни, преди да разкрие откритите от тях уязвимости.
Project Zero е отдел за сигурност, нает от Google, който беше основана през 2014 г. Основната мисия на екипа е да открие уязвимости от нулевия ден - тоест уязвимости, които са неизвестни (или не са адресирани от) страната, която трябва да се интересува от тяхното смекчаване. "Heartbleed" е един такъв експлойт за нулев ден, което беше частно докладвано от два отделни екипа по сигурността на OpenSSL. Един от тези екипи за сигурност работеше под Google и в крайна сметка доведе до създаването на Project Zero. Грешката беше открита през април 2014 г., компилация на OpenSSL с коригирана грешка беше пусната няколко дни по-късно заедно с пълно разкриване на грешката. Това пълно разкриване означава, че системите, които не са актуализирани веднага, са изложени на риск, въпреки че това обикновено служи като мотивация за екипите от разработчици да актуализират своя софтуер.
Оттогава Project Zero на Google работи по подобен начин. Когато бъде открита грешка от нулевия ден, екипът я докладва частно на компанията, която притежава софтуера. От датата на разкриване компанията разполага с 90 дни, за да коригира грешката. Ако го поправят преди изтичането на 90-дневния прозорец, Google ще публикува подробности за уязвимостта. Ако изминат 90 дни, без да бъде коригирана, екипът така или иначе ще освободи уязвимостта, което има за цел да направи потребителите са наясно с проблемите, които софтуерът, който използват, може да има, като същевременно потенциално мотивират компанията да работи по-бързо. Има един недостатък, който доставчиците забелязват при тази система и точно както при Heartbleed, това е, че потребителите (или разработчици) може да не успеят да надстроят своите системи достатъчно бързо, преди да станат жертва на експлоатация. Поради тази причина екипът на Project Zero обяви, че за годината те се опитват да изчакат 90-те дни, без значение колко бързо (или бавно) е коригирана уязвимостта.
Политиката на Google за разкриване на грешки след 7 дни, ако открият доказателства, че грешката се експлоатира в природата, не се засяга. В същата публикация в блога екипът на Project Zero обяви и редица други малки промени. Google също така с гордост съобщава, че 97,7% от всички проблеми, които са открили, са коригирани в рамките на 90-дневния прозорец. Можете да прочетете цялата публикация в блога по-долу.
източник: Google Project Zero