Project Zero katsetab uut mudelit, et paljastada haavatavused, mis annavad originaalseadmete tootjatele rohkem aega mõjutatud kasutajatele plaastrite levitamiseks.
Google'i Project Zero meeskond teatab mõningatest suurtest muudatustest, kuidas ta avalikustab turvaauke. Alates selle käivitamisest on Project Zero järginud ranget 90-päevast avalikustamistähtaega. See tähendab, et kui haavatavus leitakse, teeb seda Project Zero oodake 90 päeva enne avalikku dokumenteerimist tehnilisi üksikasju. See võimaldab müüjatel parandada oma tarkvara viga enne, kui ründajad saavad seda ära kasutada.
Projekt Zero on nüüd uue mudeli katsetamine 2021. aastaks, mis annab originaalseadmete tootjatele lisakuu aega plaastrite avaldamiseks mõjutatud kasutajatele. Varem tehti haavatavuse tehniline dokumentatsioon kohe, kui 90-päevane tähtaeg möödus – olenemata sellest, kas plaaster väljastati või mitte. Kui originaalseadmete tootja lahendab uues mudelis probleemi 90 päeva jooksul, esitatakse tehniline dokumentatsioon 30 päeva pärast parandamist.
Google ütleb, et uue 90+30 poliitika eesmärk on muuta plaastri kasutuselevõtt avalikustamisprogrammi selgesõnaliseks osaks. Müüjatel on plaastri väljatöötamiseks aega 90 päeva ja paranduse kasutajatele pakkumiseks 30 päeva.
"Üleminek mudelile "90+30" võimaldab meil eraldada paigale kulumise ja plaastri kasutuselevõtu aja ning vähendada vaidlusi selle ümber. ründaja/kaitsja kompromissid ja tehniliste üksikasjade jagamine, propageerides samal ajal lõppkasutajate haavatavuse aja vähendamist teadaolevatele rünnakutele,"ütles Project Zero juht Tim Willis ajaveebipostituses.
Looduses olevatele haavatavustele, mida aktiivselt ära kasutatakse, antakse endiselt 7-päevane avalikustamistähtaeg. Nüüd aga, kui probleem parandatakse 7 päeva jooksul, avaldab Google tehnilised üksikasjad 30 päeva pärast parandamist. Varem avaldas Google üksikasjad 7. päeval, olenemata probleemi lahendamise ajast. Lisaks saavad müüjad nüüd taotleda ka 3-päevast ajapikendust selliste haavatavuste jaoks, mida varem ei pakutud.
Projekti Zero meeskond tunnistab, et see uus poliitika on väike taandareng nende varasemast seisukohast, mis seadis esikohale tehniliste üksikasjade kiire avalikustamise. Meeskond märgib siiski, et see leebe poliitika ei kesta liiga kaua, kuna nad soovivad lähitulevikus avalikustamise tähtaega lühendada. Meeskond andis mõista, et 2022. aastaks lähevad nad tõenäoliselt üle 84+28 mudelile.