A Google Project Zero biztonsági csapata most a teljes 90 napot kivárja, mielőtt nyilvánosságra hozza a felfedezett sebezhetőségeket.
A Project Zero a Google által alkalmazott biztonsági részleg, amely az volt 2014-ben alakult. A csapat elsődleges küldetése a nulladik napi sebezhetőségek feltárása – vagyis olyan sérülékenységek, amelyeket nem ismer (vagy nem kezelt) az a fél, akinek érdekeltnek kell lennie annak enyhítésében. A "szívvérzés" az egy ilyen nulladik napi exploit, amelyet két különálló biztonsági csapat privát jelentett be az OpenSSL-nek. Az egyik biztonsági csapat a Google alatt működött, és végül a Project Zero létrehozásához vezetett. A hibát 2014 áprilisában fedezték fel, néhány nappal később kiadták a javított hibával rendelkező OpenSSL buildet a hiba teljes nyilvánosságra hozatalával együtt. Ez a teljes nyilvánosságra hozatal azt jelentette, hogy a nem azonnal frissített rendszerek veszélybe kerültek, bár ez általában motivációként szolgál a fejlesztői csapatok számára szoftverük frissítésére.
Azóta a Google Project Zero hasonló módon működik. Amikor egy nulladik napi hibát fedeznek fel, a csapat privátban jelenti azt a szoftver tulajdonosának. A nyilvánosságra hozataltól számítva a cégnek 90 napja van a hiba kijavítására. Ha a 90 napos időszak lejárta előtt kijavítják, a Google nyilvánosságra hozza a sebezhetőség részleteit. Ha a 90 nap eltelik anélkül, hogy kijavítanák, a csapat mindenképp felszabadítja a sebezhetőséget, amelynek célja a felhasználók tudatában vannak az általuk használt szoftverek problémáinak, ugyanakkor potenciálisan motiválják a vállalatot a munkára gyorsabban. Van egy hiba, amit a gyártók észlelnek ezzel a rendszerrel, és a Heartbleedhez hasonlóan az, hogy a felhasználók (vagy fejlesztők) előfordulhat, hogy nem tudják elég gyorsan frissíteni rendszereiket, mielőtt áldozatává válnának kizsákmányolás. Emiatt a Project Zero csapata bejelentette, hogy az év során megpróbálják kivárni a 90 napot, függetlenül attól, hogy milyen gyorsan (vagy lassan) javítják ki a sérülékenységet.
A Google irányelve, miszerint 7 napon belül nyilvánosságra hozza a hibákat, ha bizonyítékot talál arra, hogy a hibát a vadonban kihasználják, ez nem érinti. Ugyanebben a blogbejegyzésben a Project Zero csapata számos egyéb apró változtatást is bejelentett. A Google büszkén jelenti be, hogy az általa felfedezett összes probléma 97,7%-át a 90 napos időszakon belül kijavítják. A teljes blogbejegyzést alább olvashatja.
Forrás: Google Project Zero