Bezpečnostní tým Google Project Zero nyní počká celých 90 dní, než odhalí zranitelnosti, které objeví.
Project Zero je bezpečnostní divize zaměstnaná společností Google, která byla založena v roce 2014. Primárním posláním týmu je objevit zero-day zranitelnosti – tedy zranitelnosti, které jsou neznámé (nebo neřešené) stranou, která by měla mít zájem na jejich zmírnění. "Heartbleed" je jeden takový zero-day exploit, který byl soukromě nahlášen dvěma samostatnými bezpečnostními týmy OpenSSL. Jeden z těchto bezpečnostních týmů fungoval pod Googlem a nakonec vedl k vytvoření Project Zero. Chyba byla objevena v dubnu 2014, sestavení OpenSSL s opravenou chybou bylo vydáno o několik dní později spolu s úplným odhalením chyby. Toto úplné zveřejnění znamenalo, že systémy, které nebyly okamžitě aktualizovány, byly ohroženy, i když to obecně slouží jako motivace pro vývojářské týmy k aktualizaci softwaru.
Od té doby funguje Project Zero od Googlu podobným způsobem. Když je objevena chyba zero-day, tým ji soukromě nahlásí kterékoli společnosti, která software vlastní. Od data zveřejnění má společnost 90 dní na opravu chyby. Pokud to opraví před uplynutím 90denní lhůty, Google zveřejní podrobnosti o zranitelnosti. Pokud uplyne 90 dní, aniž by byla opravena, tým zranitelnost stejně uvolní, což má za cíl uživatelé si uvědomují, jaké problémy může mít software, který používají, a zároveň potenciálně motivují společnost k práci rychlejší. Existuje jedna chyba, kterou prodejci u tohoto systému vnímají, a stejně jako u Heartbleed je to uživatelé (nebo vývojáři) nemusí být schopni upgradovat své systémy dostatečně rychle, než se stanou obětí vykořisťování. Z tohoto důvodu tým Project Zero oznámil, že v tomto roce zkoušejí čekat 90 dní bez ohledu na to, jak rychle (nebo pomalu) bude zranitelnost opravena.
Zásady společnosti Google zveřejňovat chyby do 7 dnů, pokud najdou důkazy, že je chyba využívána ve volné přírodě, není ovlivněna. Ve stejném příspěvku na blogu oznámil tým Project Zero také řadu dalších malých změn. Google také s hrdostí oznamuje, že 97,7 % všech problémů, které objeví, je vyřešeno během 90denního okna. Celý příspěvek na blogu si můžete přečíst níže.
Zdroj: Google Project Zero