Το Project Zero δοκιμάζει ένα νέο μοντέλο για να αποκαλύψει ευπάθειες που θα δώσει περισσότερο χρόνο στους OEM να αναπτύξουν ενημερώσεις κώδικα στους χρήστες που επηρεάζονται.
Η ομάδα του Project Zero της Google ανακοινώνει ορισμένες μεγάλες αλλαγές στον τρόπο με τον οποίο αποκαλύπτει τα τρωτά σημεία ασφαλείας στο κοινό. Από την έναρξή του, το Project Zero έχει ακολουθήσει μια αυστηρή προθεσμία αποκάλυψης 90 ημερών. Αυτό σημαίνει ότι όταν εντοπιστεί μια ευπάθεια, το Project Zero θα το κάνει περιμένετε 90 ημέρες πριν από τη δημόσια τεκμηρίωση τις τεχνικές λεπτομέρειες. Αυτό επιτρέπει στους προμηθευτές να επιδιορθώσουν το ελάττωμα στο λογισμικό τους προτού οι εισβολείς μπορέσουν να το εκμεταλλευτούν.
Το Project Zero είναι τώρα δοκιμάζοντας ένα νέο μοντέλο για το 2021 που θα χορηγήσει στους OEM έναν επιπλέον μήνα για να αναπτύξουν ενημερώσεις κώδικα στους χρήστες που επηρεάζονται. Νωρίτερα, η τεχνική τεκμηρίωση μιας ευπάθειας συνέβη μόλις έληγε η προθεσμία των 90 ημερών — ανεξάρτητα από το αν εκδόθηκε μια ενημέρωση κώδικα ή όχι. Στο νέο μοντέλο, εάν ένας OEM επιδιορθώσει το πρόβλημα εντός της περιόδου των 90 ημερών, η τεχνική τεκμηρίωση θα συμβεί 30 ημέρες μετά την επιδιόρθωση.
Η Google λέει ότι η νέα πολιτική 90+30 στοχεύει να καταστήσει την υιοθέτηση της ενημέρωσης κώδικα ρητό μέρος του προγράμματος αποκάλυψης. Οι προμηθευτές θα έχουν 90 ημέρες για να αναπτύξουν την ενημερωμένη έκδοση κώδικα και 30 ημέρες για να διαθέσουν την επιδιόρθωση στους χρήστες τους.
"Η μετάβαση σε ένα μοντέλο "90+30" μάς επιτρέπει να αποσυνδέσουμε το χρόνο για την ενημέρωση κώδικα από τον χρόνο υιοθέτησης του κώδικα, μειώνοντας την επίμαχη συζήτηση γύρω από αντισταθμίσεις εισβολέα/αμυντών και την κοινή χρήση τεχνικών λεπτομερειών, ενώ υποστηρίζει τη μείωση του χρόνου που οι τελικοί χρήστες είναι ευάλωτοι σε γνωστές επιθέσεις," είπε ο διευθυντής του Project Zero Tim Willis σε μια ανάρτηση στο blog.
Τα τρωτά σημεία in-the-wild, τα οποία αξιοποιούνται ενεργά, θα εξακολουθήσουν να έχουν προθεσμία 7 ημερών αποκάλυψης. Αλλά τώρα, εάν ένα πρόβλημα επιδιορθωθεί εντός 7 ημερών, η Google θα δημοσιεύσει τις τεχνικές λεπτομέρειες 30 ημέρες μετά την επιδιόρθωση. Νωρίτερα, η Google θα δημοσίευε τις λεπτομέρειες την 7η ημέρα, ανεξάρτητα από το πότε επιλύθηκε το πρόβλημα. Επιπλέον, οι πωλητές μπορούν πλέον να ζητήσουν περίοδο χάριτος 3 ημερών για τέτοια τρωτά σημεία, που δεν προσφερόταν στο παρελθόν.
Η ομάδα του Project Zero αναγνωρίζει ότι αυτή η νέα πολιτική είναι μια ελαφρά οπισθοδρόμηση σε σχέση με την προηγούμενη στάση τους, η οποία έδινε προτεραιότητα στην ταχεία κοινοποίηση τεχνικών λεπτομερειών στο κοινό. Ωστόσο, η ομάδα σημειώνει ότι αυτή η χαλαρή πολιτική δεν θα παραμείνει για πολύ καιρό, καθώς θα προσπαθήσει να συντομεύσει την προθεσμία γνωστοποίησης στο εγγύς μέλλον. Η ομάδα άφησε να εννοηθεί ότι για το 2022, πιθανότατα θα μετακινούνταν σε ένα μοντέλο 84+28.