A Project Zero egy új modellt próbál ki, hogy felfedje a sebezhetőségeket, amelyek több időt hagynak az OEM-eknek a javítások kiadására az érintett felhasználók számára.
A Google Project Zero csapata néhány nagy változást jelent be a biztonsági rések nyilvánosságra hozatalában. A Project Zero indulása óta szigorú, 90 napos közzétételi határidőt követett. Ez azt jelenti, hogy a Project Zero biztonsági rést talál várjon 90 napot a nyilvános dokumentálás előtt a technikai részleteket. Ez lehetővé teszi a gyártók számára, hogy kijavítsák szoftverük hibáját, mielőtt a támadók kihasználhatnák azt.
A Project Zero most van új modell kipróbálása 2021-re, amely további egy hónapot biztosít az OEM-eknek, hogy kiadják a javításokat az érintett felhasználóknak. Korábban a sérülékenység műszaki dokumentációja a 90 napos határidő lejártakor megtörtént – függetlenül attól, hogy kiadták-e a javítást vagy sem. Az új modellben, ha az OEM 90 napon belül kijavítja a problémát, a műszaki dokumentáció a javítás után 30 nappal megtörténik.
A Google szerint az új 90+30 irányelv célja, hogy a javítások elfogadása a közzétételi program explicit részévé váljon. A gyártóknak 90 nap áll rendelkezésükre a javítás kifejlesztésére, és 30 nap áll rendelkezésükre, hogy felhasználóik számára közzétegyék a javítást.
"A „90+30” modellre való átállás lehetővé teszi számunkra, hogy leválasztjuk a javításhoz szükséges időt a javítás elfogadásának idejétől, csökkentve ezzel a körülötte zajló vitákat. támadó/védő kompromisszumok és a technikai részletek megosztása, miközben a végfelhasználók sebezhetőségi idejének csökkentését szorgalmazza ismert támadásokra," - mondta Tim Willis, a Project Zero menedzsere egy blogbejegyzésében.
Az aktívan kihasznált in-the-wild sebezhetőségek továbbra is 7 napos közzétételi határidőt kapnak. Most azonban, ha egy problémát 7 napon belül kijavítanak, a Google a javítás után 30 nappal közzéteszi a technikai részleteket. Korábban a Google a 7. napon tette közzé a részleteket, függetlenül attól, hogy a hibát mikor javították ki. Sőt, a szolgáltatók ezentúl 3 napos türelmi időt is kérhetnek az ilyen jellegű sebezhetőségekre, amit korábban nem ajánlottak fel.
A Project Zero csapata elismeri, hogy ez az új irányelv enyhe visszalépés korábbi álláspontjukhoz képest, amely a technikai részletek gyors nyilvánosságra hozatalát helyezte előtérbe. A csapat azonban megjegyzi, hogy ez a laza politika nem fog sokáig kitartani, mivel a közeljövőben igyekeznek lerövidíteni a közzétételi határidőt. A csapat arra utalt, hogy 2022-re valószínűleg egy 84+28-as modellre térnek át.