Project Zero מנסה מודל חדש לחשוף נקודות תורפה שיעניקו ליצרני OEM יותר זמן להפיץ טלאים למשתמשים המושפעים.
צוות Project Zero של גוגל מכריז על כמה שינויים גדולים באופן שבו הוא חושף פרצות אבטחה לציבור. מאז השקתו, Project Zero פעל לפי תאריך יעד קפדני של 90 יום לגילוי. המשמעות היא שכאשר תימצא פגיעות, Project Zero יעשה זאת המתן 90 יום לפני שתתעד בפומבי הפרטים הטכניים. זה מאפשר לספקים לתקן את הפגם בתוכנה שלהם לפני שתוקפים יכולים לנצל אותו.
פרויקט אפס הוא עכשיו מתנסים בדגם חדש לשנת 2021 שיעניק ליצרני ציוד מקורי חודש נוסף להפצת תיקונים למשתמשים המושפעים. מוקדם יותר, התיעוד הטכני של פגיעות קרה ברגע שהמועד האחרון של 90 יום חלף - ללא קשר אם הונפק תיקון או לא. בדגם החדש, אם יצרן OEM יתקן את הבעיה תוך 90 יום, התיעוד הטכני יתרחש 30 יום לאחר התיקון.
גוגל אומרת שמדיניות ה-90+30 החדשה נועדה להפוך את אימוץ התיקון לחלק מפורש מתוכנית החשיפה. לספקים יהיו 90 יום לפתח את התיקון ו-30 יום להפיץ את התיקון למשתמשים שלהם.
"מעבר למודל "90+30" מאפשר לנו לנתק את הזמן לתיקון מזמן אימוץ התיקון, לצמצם את הוויכוח השנוי במחלוקת סביב פשרות בין תוקף/מגן ושיתוף של פרטים טכניים, תוך תמיכה בצמצום משך הזמן שבו משתמשי קצה פגיעים להתקפות ידועות," אמר מנהל Project Zero טים וויליס בפוסט בבלוג.
פגיעויות בטבע, המנוצלות באופן פעיל, עדיין יקבלו מועד אחרון לגילוי של 7 ימים. אבל כעת, אם בעיה תתוקן תוך 7 ימים, גוגל תפרסם את הפרטים הטכניים 30 יום לאחר התיקון. מוקדם יותר, גוגל תפרסם את הפרטים ביום השביעי ללא קשר למועד תיקון הבעיה. יתרה מכך, ספקים יכולים כעת לבקש גם תקופת חסד של 3 ימים עבור פגיעויות מסוג זה, שלא הוצעה קודם לכן.
צוות Project Zero מכיר בכך שמדיניות חדשה זו היא נסיגה קלה מהעמדה הקודמת שלהם, שהעניקה עדיפות לפרסום מהיר של פרטים טכניים לציבור. עם זאת, הצוות מציין שמדיניות רגועה זו לא תישאר לאורך זמן מכיוון שהם יחפשו לקצר את מועד החשיפה בעתיד הקרוב. הצוות רמז שבשנת 2022, סביר להניח שהם יעברו לדגם 84+28.