Googleov tim za sigurnost Project Zero sada će čekati punih 90 dana prije nego što otkrije ranjivosti koje otkrije.
Project Zero je sigurnosni odjel zaposlen u Googleu, koji je bio osnovana 2014. godine. Primarna misija tima je otkriti ranjivosti nultog dana - to jest ranjivosti koje su nepoznate (ili ih ne rješava) strana koja bi trebala biti zainteresirana za njihovo ublažavanje. "Heartbleed" je jedan takav zero-day exploit, što su OpenSSL-u privatno prijavila dva odvojena sigurnosna tima. Jedan od tih sigurnosnih timova djelovao je pod Googleom i na kraju je doveo do stvaranja Project Zero. Greška je otkrivena u travnju 2014., verzija OpenSSL-a s ispravljenom greškom objavljena je nekoliko dana kasnije zajedno s potpunim otkrivanjem greške. Ovo potpuno otkrivanje značilo je da su sustavi koji nisu odmah ažurirani ugroženi, iako to općenito služi kao motivacija za razvojne timove da ažuriraju svoj softver.
Od tada, Googleov Project Zero radi na sličan način. Kada se otkrije greška nultog dana, tim je privatno prijavljuje tvrtki koja posjeduje softver. Od datuma objave, tvrtka ima 90 dana da popravi grešku. Ako to poprave prije isteka 90-dnevnog razdoblja, Google će objaviti pojedinosti o ranjivosti. Ako prođe 90 dana, a da se ranjivost ne popravi, tim će svejedno otpustiti ranjivost, što je namijenjeno korisnici svjesni problema koje softver koji koriste može imati, a istovremeno potencijalno motivirati tvrtku za rad brže. Postoji jedan nedostatak koji dobavljači uočavaju kod ovog sustava, a baš kao i kod Heartbleeda, to je da korisnici (ili programeri) možda neće moći dovoljno brzo nadograditi svoje sustave prije nego što postanu žrtve iskorištavanje. Iz tog razloga, Project Zero tim je najavio da će godinu dana probno čekati 90 dana bez obzira koliko brzo (ili sporo) se ranjivost popravi.
To ne utječe na Googleovu politiku otkrivanja grešaka u roku od 7 dana ako pronađu dokaze da se bug iskorištava u prirodi. U istom postu na blogu, Project Zero tim također je najavio niz drugih malih promjena. Google također s ponosom objavljuje da je 97,7% svih problema koje otkrije riješeno u roku od 90 dana. Cijeli post na blogu možete pročitati u nastavku.
Izvor: Google Project Zero