Googles Project Zero-sikkerhedsteam vil nu vente 90 dage med at afsløre eventuelle sårbarheder, de finder

Googles Project Zero-sikkerhedsteam vil nu vente de fulde 90 dage, før de afslører sårbarheder, som de opdager.

Project Zero er en sikkerhedsafdeling ansat af Google, som var grundlagt i 2014. Holdets primære mission er at opdage zero-day sårbarheder - det vil sige sårbarheder, der er ukendte (eller ikke adresseres af) den part, som burde være interesseret i at afhjælpe det. "Heartbleed" er en sådan nul-dages udnyttelse, som blev privat rapporteret af to separate sikkerhedsteams til OpenSSL. Et af disse sikkerhedsteam opererede under Google og førte til sidst til oprettelsen af ​​Project Zero. Fejlen blev opdaget i april 2014, en build af OpenSSL med fejlen rettet blev frigivet et par dage senere sammen med fuld afsløring af fejlen. Denne fulde offentliggørelse betød, at systemer, der ikke blev opdateret med det samme, var i fare, selvom det generelt tjener som en motivation for udviklerteams til at opdatere deres software.

Siden da har Googles Project Zero fungeret på lignende måde. Når en nul-dages fejl bliver opdaget, rapporterer teamet det privat til den virksomhed, der ejer softwaren. Fra datoen for offentliggørelsen har virksomheden 90 dage til at rette fejlen. Hvis de løser det, inden 90-dages vinduet er fuldført, vil Google frigive detaljer om sårbarheden. Hvis de 90 dage går, uden at det er rettet, vil teamet alligevel frigive sårbarheden, hvilket er beregnet til at gøre brugere, der er opmærksomme på de problemer, den software, de bruger, kan have, samtidig med at de potentielt motiverer virksomheden til at arbejde hurtigere. Der er én fejl, som leverandører opfatter med dette system, og ligesom med Heartbleed, er det, at brugerne (eller udviklere) er muligvis ikke i stand til at opgradere deres systemer hurtigt nok, før de bliver offer for udnyttelse. Af denne grund har Project Zero-teamet annonceret, at de i løbet af året prøver at vente i 90 dage, uanset hvor hurtigt (eller langsomt) sårbarheden er rettet.

Googles politik om at afsløre fejl inden for 7 dage, hvis de finder beviser på, at fejlen bliver udnyttet i naturen, er upåvirket. I samme blogindlæg har Project Zero-teamet også annonceret en række andre små ændringer. Google er også stolte af at kunne meddele, at 97,7 % af alle problemer, de opdager, er løst inden for 90-dages-vinduet. Du kan læse hele blogindlægget nedenfor.


Kilde: Google Project Zero