Project Zero afprøver en ny model for at afsløre sårbarheder, der vil give OEM'er mere tid til at udrulle patches til berørte brugere.
Googles Project Zero-team annoncerer nogle store ændringer i, hvordan det afslører sikkerhedssårbarheder til offentligheden. Siden lanceringen har Project Zero fulgt en streng 90-dages offentliggørelsesfrist. Det betyder, at når en sårbarhed er fundet, vil Project Zero det vent 90 dage, før du dokumenterer offentligt de tekniske detaljer. Dette giver leverandører mulighed for at rette fejlen i deres software, før angribere kan udnytte den.
Project Zero er nu afprøve en ny model for 2021, der vil give OEM'er en ekstra måned til at udrulle patches til de berørte brugere. Tidligere skete den tekniske dokumentation af en sårbarhed, så snart 90-dages fristen udløb - uanset om en patch blev udstedt eller ej. I den nye model, hvis en OEM løser problemet inden for 90-dages perioden, vil den tekniske dokumentation ske 30 dage efter rettelsen.
Google siger, at den nye 90+30-politik sigter mod at gøre vedtagelsen af programrettelsen til en eksplicit del af afsløringsprogrammet. Leverandører har 90 dage til at udvikle patchen og 30 dage til at udrulle rettelsen til deres brugere.
"At flytte til en "90+30"-model giver os mulighed for at afkoble tid til patch fra patch-adoptionstid, reducere den omstridte debat omkring angriber/forsvarer-afvejninger og deling af tekniske detaljer, samtidig med at man går ind for at reducere mængden af tid, slutbrugere er sårbare til kendte angreb," sagde Project Zero-leder Tim Willis i et blogindlæg.
In-the-wild sårbarheder, som aktivt udnyttes, vil stadig få en 7-dages offentliggørelsesfrist. Men nu, hvis et problem bliver rettet inden for 7 dage, vil Google offentliggøre de tekniske detaljer 30 dage efter rettelsen. Tidligere ville Google offentliggøre detaljerne på den 7. dag, uanset hvornår problemet var løst. Desuden kan leverandører nu også anmode om en 3-dages henstandsperiode for sårbarheder af denne art, som ikke blev tilbudt før.
Project Zero-teamet erkender, at denne nye politik er en lille tilbagegang i forhold til deres tidligere holdning, som prioriterede hurtig frigivelse af tekniske detaljer til offentligheden. Holdet bemærker dog, at denne afslappede politik ikke vil blive ved for længe, da de vil søge at forkorte afsløringsfristen i den nærmeste fremtid. Holdet antydede, at for 2022 ville de sandsynligvis flytte til en 84+28-model.