Project Zero sedang menguji model baru untuk mengungkap kerentanan yang akan memberikan lebih banyak waktu kepada OEM untuk meluncurkan patch kepada pengguna yang terkena dampak.
Tim Project Zero Google mengumumkan beberapa perubahan besar dalam cara mereka mengungkapkan kerentanan keamanan kepada publik. Sejak diluncurkan, Project Zero telah mengikuti tenggat waktu pengungkapan yang ketat selama 90 hari. Artinya, ketika kerentanan ditemukan, Project Zero akan melakukannya tunggu 90 hari sebelum mendokumentasikannya secara publik rincian teknisnya. Hal ini memungkinkan vendor untuk menambal kelemahan perangkat lunak mereka sebelum penyerang dapat mengeksploitasinya.
Proyek Nol sekarang menguji model baru untuk tahun 2021 yang akan memberi OEM satu bulan tambahan untuk meluncurkan patch kepada pengguna yang terkena dampak. Sebelumnya, dokumentasi teknis mengenai kerentanan terjadi segera setelah tenggat waktu 90 hari berlalu — terlepas dari apakah patch telah diterbitkan atau tidak. Pada model baru, jika OEM memperbaiki masalah dalam jangka waktu 90 hari, dokumentasi teknis akan dilakukan 30 hari setelah perbaikan.
Google mengatakan kebijakan 90+30 yang baru bertujuan menjadikan penerapan patch sebagai bagian eksplisit dari program pengungkapan. Vendor memiliki waktu 90 hari untuk mengembangkan patch dan 30 hari untuk meluncurkan perbaikan kepada penggunanya.
"Peralihan ke model "90+30" memungkinkan kami memisahkan waktu untuk melakukan patch dari waktu adopsi patch, mengurangi perdebatan yang kontroversial seputar trade-off penyerang/pembela dan pembagian rincian teknis, sambil menganjurkan untuk mengurangi jumlah waktu yang membuat pengguna akhir rentan untuk serangan yang diketahui,kata manajer Project Zero Tim Willis dalam postingan blognya.
Kerentanan di alam liar, yang secara aktif dieksploitasi, masih akan diberikan tenggat waktu pengungkapan selama 7 hari. Namun sekarang, jika suatu masalah diperbaiki dalam waktu 7 hari, Google akan mempublikasikan detail teknisnya 30 hari setelah perbaikan. Sebelumnya, Google akan mempublikasikan detailnya pada hari ke-7 terlepas dari kapan masalah tersebut telah diperbaiki. Selain itu, vendor kini juga dapat meminta masa tenggang 3 hari untuk kerentanan seperti ini, yang belum pernah ditawarkan sebelumnya.
Tim Project Zero mengakui bahwa kebijakan baru ini merupakan sedikit kemunduran dari sikap mereka sebelumnya, yang memprioritaskan pengungkapan rincian teknis secara cepat kepada publik. Namun, tim tersebut mencatat bahwa kebijakan yang longgar ini tidak akan bertahan lama karena mereka akan berupaya mempersingkat tenggat waktu pengungkapan dalam waktu dekat. Tim tersebut mengisyaratkan bahwa pada tahun 2022, mereka kemungkinan akan beralih ke model 84+28.