Project Zero kokeilee uutta mallia paljastaakseen haavoittuvuuksia, jotka antavat OEM-valmistajille enemmän aikaa julkaista korjaustiedostoja käyttäjille, joita asia koskee.
Googlen Project Zero -tiimi ilmoittaa suurista muutoksista tapaan, jolla se paljastaa tietoturva-aukkoja yleisölle. Project Zero on noudattanut julkaisunsa jälkeen tiukkaa 90 päivän julkistamismääräaikaa. Tämä tarkoittaa, että kun haavoittuvuus löydetään, Project Zero tekee sen odota 90 päivää ennen julkista dokumentointia tekniset yksityiskohdat. Näin myyjät voivat korjata ohjelmistonsa virheen ennen kuin hyökkääjät voivat hyödyntää sitä.
Project Zero on nyt kokeilemassa uutta mallia vuodelle 2021, joka antaa OEM-valmistajille lisäkuukauden julkaista korjaustiedostoja käyttäjille, joita asia koskee. Aiemmin haavoittuvuuden tekninen dokumentointi tapahtui heti, kun 90 päivän määräaika umpeutui – riippumatta siitä, onko korjaustiedosto julkaistu vai ei. Jos OEM korjaa ongelman uudessa mallissa 90 päivän kuluessa, tekninen dokumentaatio tapahtuu 30 päivän kuluttua korjauksesta.
Google sanoo, että uuden 90+30-käytännön tavoitteena on tehdä korjaustiedoston käyttöönotosta selkeä osa ilmoitusohjelmaa. Myyjillä on 90 päivää aikaa kehittää korjaustiedosto ja 30 päivää julkaista korjaus käyttäjilleen.
"Siirtymällä malliin "90+30" voimme erottaa korjaustiedoston käyttöönoton ajasta, mikä vähentää kiistanalaista keskustelua hyökkääjien ja puolustajien väliset kompromissit ja teknisten yksityiskohtien jakaminen, samalla kun puolustetaan loppukäyttäjien haavoittuvuuden vähentämistä tunnettuihin hyökkäyksiin,", sanoi Project Zero -päällikkö Tim Willis blogiviestissä.
In-the-wild-haavoittuvuuksille, joita hyödynnetään aktiivisesti, annetaan edelleen 7 päivän ilmoitusaika. Mutta nyt, jos ongelma korjataan 7 päivän kuluessa, Google julkaisee tekniset tiedot 30 päivän kuluttua korjauksesta. Aiemmin Google julkaisi tiedot 7. päivänä riippumatta siitä, milloin ongelma korjattiin. Lisäksi toimittajat voivat nyt pyytää myös kolmen päivän lisäaikaa tämäntyyppisille haavoittuvuuksille, joita ei aiemmin tarjottu.
Project Zero -tiimi myöntää, että tämä uusi käytäntö on pieni taantuma heidän aikaisemmasta asenteestaan, joka asetti etusijalle teknisten yksityiskohtien nopean julkistamisen. Tiimi kuitenkin huomauttaa, että tämä rento politiikka ei kestä liian kauan, koska he pyrkivät lyhentämään julkistamisen määräaikaa lähitulevaisuudessa. Tiimi vihjasi, että vuonna 2022 he todennäköisesti siirtyisivät 84+28-malliin.