Project Zero sta sperimentando un nuovo modello per rivelare le vulnerabilità che darà più tempo agli OEM per distribuire le patch agli utenti interessati.
Il team Project Zero di Google annuncia alcuni grandi cambiamenti nel modo in cui rivela al pubblico le vulnerabilità della sicurezza. Dal suo lancio, Project Zero ha seguito un rigoroso termine di divulgazione di 90 giorni. Ciò significa che quando viene rilevata una vulnerabilità, Project Zero lo farà attendere 90 giorni prima di documentarsi pubblicamente i dettagli tecnici. Ciò consente ai fornitori di correggere il difetto nel loro software prima che gli aggressori possano sfruttarlo.
Il Progetto Zero è adesso sperimentando un nuovo modello per il 2021 che garantirà agli OEM un mese aggiuntivo per distribuire le patch agli utenti interessati. In precedenza, la documentazione tecnica di una vulnerabilità avveniva non appena scadeva il termine di 90 giorni, indipendentemente dal fatto che fosse stata rilasciata o meno una patch. Nel nuovo modello, se un OEM risolve il problema entro il periodo di 90 giorni, la documentazione tecnica avverrà 30 giorni dopo la correzione.
Google afferma che la nuova politica 90+30 mira a rendere l'adozione della patch una parte esplicita del programma di divulgazione. I fornitori avranno 90 giorni per sviluppare la patch e 30 giorni per distribuirla ai propri utenti.
"Il passaggio a un modello "90+30" ci consente di disaccoppiare il tempo necessario per la patch dal momento dell'adozione della patch, riducendo il controverso dibattito sulla compromessi tra attaccante/difensore e condivisione di dettagli tecnici, sostenendo al tempo stesso la riduzione del tempo in cui gli utenti finali sono vulnerabili ad attacchi noti," ha affermato il manager di Project Zero, Tim Willis, in un post sul blog.
Alle vulnerabilità in the wild, che vengono attivamente sfruttate, verrà comunque concesso un termine di divulgazione di 7 giorni. Ma ora, se un problema viene risolto entro 7 giorni, Google pubblicherà i dettagli tecnici 30 giorni dopo la correzione. In precedenza, Google pubblicava i dettagli il settimo giorno, indipendentemente da quando il problema veniva risolto. Inoltre, i fornitori ora possono anche richiedere un periodo di grazia di 3 giorni per vulnerabilità di questo tipo, cosa che prima non veniva offerta.
Il team di Project Zero riconosce che questa nuova politica rappresenta una leggera regressione rispetto alla posizione precedente, che dava priorità al rilascio rapido dei dettagli tecnici al pubblico. Tuttavia, il team osserva che questa politica rilassata non durerà a lungo poiché cercheranno di abbreviare la scadenza per la divulgazione nel prossimo futuro. Il team ha lasciato intendere che per il 2022 probabilmente passeranno a un modello 84+28.