Tim keamanan Project Zero Google sekarang akan menunggu selama 90 hari penuh sebelum mengungkapkan kerentanan yang mereka temukan.
Project Zero adalah divisi keamanan yang dipekerjakan oleh Google didirikan pada tahun 2014. Misi utama tim ini adalah menemukan kerentanan zero-day - yaitu, kerentanan yang tidak diketahui (atau belum ditangani oleh) pihak yang berkepentingan dalam mitigasinya. "Hati berdarah" adalah salah satu eksploitasi zero-day tersebut, yang dilaporkan secara pribadi oleh dua tim keamanan terpisah ke OpenSSL. Salah satu tim keamanan ini beroperasi di bawah Google dan akhirnya mengarah pada terciptanya Project Zero. Bug tersebut ditemukan pada bulan April 2014, versi OpenSSL dengan bug yang diperbaiki dirilis beberapa hari kemudian bersamaan dengan pengungkapan penuh bug tersebut. Pengungkapan penuh ini berarti bahwa sistem yang tidak segera diperbarui akan berisiko, meskipun hal ini umumnya menjadi motivasi bagi tim pengembang untuk memperbarui perangkat lunak mereka.
Sejak itu, Project Zero Google bekerja dengan cara serupa. Ketika bug zero-day ditemukan, tim secara pribadi melaporkannya ke perusahaan mana pun yang memiliki perangkat lunak tersebut. Sejak tanggal pengungkapan, perusahaan memiliki waktu 90 hari untuk memperbaiki bug tersebut. Jika mereka memperbaikinya sebelum jangka waktu 90 hari selesai, Google akan merilis rincian kerentanannya. Jika 90 hari berlalu tanpa perbaikan, tim akan tetap melepaskan kerentanan yang dimaksudkan untuk dilakukan pengguna menyadari masalah yang mungkin dialami perangkat lunak yang mereka gunakan, sekaligus berpotensi memotivasi perusahaan untuk bekerja lebih cepat. Ada satu kelemahan yang dirasakan vendor pada sistem ini, dan sama seperti Heartbleed, kelemahannya adalah pengguna (atau pengembang) mungkin tidak dapat meningkatkan sistem mereka dengan cukup cepat sebelum menjadi korbannya eksploitasi. Karena alasan ini, tim Project Zero telah mengumumkan bahwa untuk tahun ini, mereka sedang melakukan uji coba selama 90 hari, tidak peduli seberapa cepat (atau lambat) kerentanan tersebut diperbaiki.
Kebijakan Google yang mengungkapkan bug dalam 7 hari jika mereka menemukan bukti bahwa bug tersebut dieksploitasi secara liar tidak terpengaruh. Dalam postingan blog yang sama, tim Project Zero juga mengumumkan sejumlah perubahan kecil lainnya. Google juga dengan bangga mengumumkan bahwa 97,7% dari semua masalah yang mereka temukan telah diperbaiki dalam jangka waktu 90 hari. Anda dapat membaca postingan blog selengkapnya di bawah ini.
Sumber: Google Proyek Nol