Google की प्रोजेक्ट ज़ीरो सुरक्षा टीम अब खोजी गई कमजोरियों का खुलासा करने से पहले पूरे 90 दिनों तक प्रतीक्षा करेगी।
प्रोजेक्ट ज़ीरो Google द्वारा नियोजित एक सुरक्षा प्रभाग है, जो था 2014 में स्थापित. टीम का प्राथमिक मिशन शून्य-दिन की कमजोरियों की खोज करना है - यानी, कमजोरियां जो अज्ञात हैं (या जिस पर पार्टी द्वारा ध्यान नहीं दिया गया है) जिसे इसके शमन में रुचि होनी चाहिए। "हार्टब्लीड" है ऐसा ही एक शून्य-दिन का कारनामा, जिसकी दो अलग-अलग सुरक्षा टीमों द्वारा ओपनएसएसएल को निजी तौर पर रिपोर्ट की गई थी। इन सुरक्षा टीमों में से एक ने Google के तहत काम किया और अंततः प्रोजेक्ट ज़ीरो के निर्माण का नेतृत्व किया। बग को अप्रैल 2014 में खोजा गया था, बग को ठीक करने के साथ ओपनएसएसएल का एक बिल्ड बग के पूर्ण प्रकटीकरण के साथ कुछ दिनों बाद जारी किया गया था। इस पूर्ण प्रकटीकरण का मतलब यह था कि तुरंत अपडेट नहीं किए गए सिस्टम जोखिम में थे, हालांकि यह आम तौर पर डेवलपर टीमों के लिए अपने सॉफ़्टवेयर को अपडेट करने के लिए प्रेरणा के रूप में कार्य करता है।
तब से, Google का प्रोजेक्ट ज़ीरो इसी तरह से काम कर रहा है। जब जीरो-डे बग का पता चलता है, तो टीम निजी तौर पर उस कंपनी को रिपोर्ट करती है जिसके पास सॉफ्टवेयर है। प्रकटीकरण की तारीख से, कंपनी के पास बग को ठीक करने के लिए 90 दिन हैं। यदि वे 90-दिन की विंडो पूरी होने से पहले इसे ठीक कर लेते हैं, तो Google भेद्यता का विवरण जारी करेगा। यदि इसे ठीक किए बिना 90 दिन बीत जाते हैं, तो टीम वैसे भी भेद्यता जारी कर देगी, जिसका उद्देश्य यह है उपयोगकर्ताओं को उनके द्वारा उपयोग किए जा रहे सॉफ़्टवेयर में आने वाली समस्याओं के बारे में पता होता है, साथ ही वे संभावित रूप से कंपनी को काम करने के लिए प्रेरित भी करते हैं और तेज। विक्रेताओं को इस प्रणाली में एक खामी नजर आती है, और हार्टब्लीड की तरह ही, वह है उपयोगकर्ताओं की (या डेवलपर्स) शिकार बनने से पहले अपने सिस्टम को तेजी से अपग्रेड करने में सक्षम नहीं हो सकते हैं शोषण. इस कारण से, प्रोजेक्ट ज़ीरो टीम ने घोषणा की है कि वर्ष के लिए, वे 90 दिनों तक प्रतीक्षा करने का परीक्षण कर रहे हैं, चाहे कितनी भी तेजी से (या धीमी गति से) भेद्यता को ठीक किया जाए।
अगर जंगल में बग का शोषण किया जा रहा है तो सबूत मिलने पर 7 दिनों में बग का खुलासा करने की Google की नीति अप्रभावित है। उसी ब्लॉग पोस्ट में, प्रोजेक्ट ज़ीरो टीम ने कई अन्य छोटे बदलावों की भी घोषणा की है। Google को यह घोषणा करते हुए भी गर्व हो रहा है कि उनके द्वारा खोजी गई सभी समस्याओं में से 97.7% को 90-दिन की अवधि के भीतर ठीक कर दिया गया है। आप पूरी ब्लॉग पोस्ट नीचे पढ़ सकते हैं।
स्रोत: गूगल प्रोजेक्ट जीरो