Project Zero は、OEM が影響を受けるユーザーにパッチを展開するための時間をより多く与える、脆弱性を公開するための新しいモデルを試行しています。
Google の Project Zero チームは、セキュリティの脆弱性を一般に公開する方法について、いくつかの大きな変更を発表しました。 プロジェクト ゼロは立ち上げ以来、90 日という厳格な開示期限を守ってきました。 これが意味するのは、脆弱性が見つかった場合、Project Zero は次のことを行うということです。 公に文書化するまで90日待ってください 技術的な詳細。 これにより、ベンダーは攻撃者が悪用する前にソフトウェアの欠陥にパッチを当てることができます。
プロジェクトゼロは現在 新しいモデルを試す 2021 年には、影響を受けるユーザーにパッチを展開するために OEM に追加の 1 か月の猶予が与えられます。 以前は、パッチが発行されたかどうかに関係なく、90 日の期限が経過するとすぐに脆弱性の技術文書が作成されました。 新しいモデルでは、OEM が 90 日以内に問題を修正した場合、技術文書は修正から 30 日後に作成されます。
Googleによると、新しい90+30ポリシーは、パッチの採用を開示プログラムの明示的な一部にすることを目的としているという。 ベンダーはパッチの開発に 90 日、ユーザーに修正を展開するのに 30 日の猶予が与えられます。
"「90+30」モデルへの移行により、パッチ適用時間とパッチ適用時間を切り離すことができ、パッチ適用に関する論争の議論を減らすことができます。 エンドユーザーが脆弱になる時間を短縮することを主張しながら、攻撃者と防御者のトレードオフと技術的な詳細の共有 既知の攻撃に対して、」とプロジェクト・ゼロのマネージャー、ティム・ウィリス氏はブログ投稿で述べた。
活発に悪用されている現存する脆弱性については、引き続き 7 日間の開示期限が与えられます。 しかし現在では、問題が 7 日以内にパッチされた場合、Google は修正から 30 日後に技術的な詳細を公開します。 以前、Google は問題がいつ修正されたかに関係なく、7 日目に詳細を公開していました。 さらに、ベンダーは、この種の脆弱性に対して、以前は提供されていなかった 3 日間の猶予期間を要求できるようになりました。
Project Zero チームは、この新しいポリシーが、技術的な詳細を迅速に一般に公開することを優先するという以前のスタンスからわずかに後退していることを認めています。 しかしチームは、近い将来開示期限の短縮を検討しているため、この緩和方針はあまり長く続かないだろうと指摘している。 チームは、2022 年には 84+28 モデルに移行する可能性が高いことを示唆しました。