Project Zero zkouší nový model k odhalení zranitelností, které poskytnou výrobcům OEM více času na zavedení oprav postiženým uživatelům.
Tým Project Zero společnosti Google oznamuje velké změny v tom, jak veřejnosti odhaluje slabá místa zabezpečení. Od svého spuštění Project Zero dodržuje přísnou 90denní lhůtu pro zveřejnění. To znamená, že když je nalezena zranitelnost, Project Zero to udělá počkejte 90 dní před veřejným dokumentováním technické detaily. To umožňuje prodejcům opravit chybu ve svém softwaru dříve, než ji útočníci zneužijí.
Project Zero je nyní zkoušení nového modelu pro rok 2021, která výrobcům OEM poskytne další měsíc na zavedení oprav pro dotčené uživatele. Dříve byla technická dokumentace zranitelnosti vytvořena ihned po uplynutí 90denní lhůty – bez ohledu na to, zda byla vydána oprava či nikoli. V novém modelu platí, že pokud OEM opraví problém během 90denní lhůty, technická dokumentace bude provedena 30 dní po opravě.
Google říká, že cílem nové zásady 90+30 je učinit přijetí opravy explicitní součástí programu zveřejňování. Prodejci budou mít 90 dní na vývoj opravy a 30 dní na zavedení opravy svým uživatelům.
"Přechod na model „90+30“ nám umožňuje oddělit čas na záplatu od času přijetí záplaty, čímž se sníží sporné debaty kolem kompromisy mezi útočníkem a obráncem a sdílení technických detailů a zároveň obhajuje zkrácení doby, po kterou jsou koncoví uživatelé zranitelní na známé útoky,“ řekl manažer Project Zero Tim Willis v příspěvku na blogu.
In-the-wild zranitelnosti, které jsou aktivně využívány, budou mít stále 7denní lhůtu pro zveřejnění. Ale nyní, pokud bude problém opraven do 7 dnů, Google zveřejní technické podrobnosti 30 dnů po opravě. Dříve společnost Google zveřejnila podrobnosti sedmý den bez ohledu na to, kdy byl problém vyřešen. Kromě toho mohou nyní prodejci také požádat o 3denní lhůtu odkladu pro zranitelnosti tohoto druhu, které dříve nebyly nabízeny.
Tým Project Zero uznává, že tato nová politika je mírným ústupkem od jejich dřívějšího postoje, který upřednostňoval rychlé zveřejnění technických podrobností. Tým však poznamenává, že tato uvolněná politika nebude trvat příliš dlouho, protože se bude v blízké budoucnosti snažit zkrátit lhůtu pro zveřejnění. Tým naznačil, že pro rok 2022 by pravděpodobně přešli na model 84+28.