प्रोजेक्ट ज़ीरो कमजोरियों का खुलासा करने के लिए एक नए मॉडल का परीक्षण कर रहा है जो ओईएम को प्रभावित उपयोगकर्ताओं के लिए पैच रोल आउट करने के लिए अधिक समय देगा।
Google की प्रोजेक्ट ज़ीरो टीम जनता के सामने सुरक्षा कमजोरियों का खुलासा करने के तरीके में कुछ बड़े बदलावों की घोषणा कर रही है। अपने लॉन्च के बाद से, प्रोजेक्ट ज़ीरो ने 90 दिनों की सख्त प्रकटीकरण समय सीमा का पालन किया है। इसका मतलब यह है कि जब कोई भेद्यता पाई जाती है, तो प्रोजेक्ट ज़ीरो ऐसा करेगा सार्वजनिक रूप से दस्तावेज़ीकरण करने से पहले 90 दिन प्रतीक्षा करें तकनीकी विवरण. यह विक्रेताओं को हमलावरों द्वारा इसका फायदा उठाने से पहले अपने सॉफ़्टवेयर में दोष को ठीक करने की अनुमति देता है।
प्रोजेक्ट ज़ीरो अब है एक नये मॉडल का परीक्षण 2021 के लिए जो ओईएम को प्रभावित उपयोगकर्ताओं के लिए पैच रोल आउट करने के लिए एक अतिरिक्त महीने का समय देगा। इससे पहले, किसी भेद्यता का तकनीकी दस्तावेज़ीकरण 90 दिन की समय सीमा समाप्त होते ही हो जाता था - भले ही पैच जारी किया गया हो या नहीं। नए मॉडल में, यदि कोई ओईएम 90-दिन की अवधि के भीतर समस्या को ठीक करता है, तो तकनीकी दस्तावेज़ीकरण ठीक होने के 30 दिन बाद होगा।
Google का कहना है कि नई 90+30 नीति का उद्देश्य पैच अपनाने को प्रकटीकरण कार्यक्रम का एक स्पष्ट हिस्सा बनाना है। विक्रेताओं के पास पैच विकसित करने के लिए 90 दिन और अपने उपयोगकर्ताओं के लिए इसे लागू करने के लिए 30 दिन होंगे।
""90+30" मॉडल पर जाने से हमें पैच अपनाने के समय से पैच करने के समय को कम करने, आसपास की विवादास्पद बहस को कम करने की अनुमति मिलती है हमलावर/रक्षक व्यापार-बंद और तकनीकी विवरण साझा करना, जबकि अंतिम उपयोगकर्ताओं के असुरक्षित होने के समय को कम करने की वकालत करना ज्ञात हमलों के लिए,प्रोजेक्ट ज़ीरो मैनेजर टिम विलिस ने एक ब्लॉग पोस्ट में कहा।
जंगली कमज़ोरियाँ, जिनका सक्रिय रूप से शोषण किया जा रहा है, को अभी भी 7 दिन की प्रकटीकरण समय सीमा दी जाएगी। लेकिन अब, यदि कोई समस्या 7 दिनों के भीतर ठीक हो जाती है, तो Google समाधान के 30 दिन बाद तकनीकी विवरण प्रकाशित करेगा। इससे पहले, Google 7वें दिन विवरण प्रकाशित करता था, चाहे समस्या कब भी ठीक हुई हो। इसके अलावा, विक्रेता अब इस प्रकृति की कमजोरियों के लिए 3 दिन की छूट अवधि का भी अनुरोध कर सकते हैं, जो पहले नहीं दी गई थी।
प्रोजेक्ट ज़ीरो टीम स्वीकार करती है कि यह नई नीति उनके पहले के रुख से थोड़ा सा पीछे हटना है, जिसमें तकनीकी विवरणों को जनता के लिए तेजी से जारी करने को प्राथमिकता दी गई थी। हालाँकि, टीम का कहना है कि यह ढीली नीति बहुत लंबे समय तक नहीं टिकेगी क्योंकि वे निकट भविष्य में प्रकटीकरण की समय सीमा को कम करने पर विचार करेंगे। टीम ने संकेत दिया कि 2022 के लिए, वे संभवतः 84+28 मॉडल की ओर बढ़ेंगे।