Project Zero는 OEM에게 수정 사항을 출시하기 위해 추가로 한 달을 제공합니다.

Project Zero는 OEM이 영향을 받는 사용자에게 패치를 출시할 수 있도록 더 많은 시간을 제공하는 취약점을 공개하는 새로운 모델을 시험하고 있습니다.

Google의 Project Zero 팀은 보안 취약점을 대중에게 공개하는 방법에 대한 몇 가지 큰 변화를 발표했습니다. Project Zero는 출시 이후 엄격한 90일 공개 기한을 준수해 왔습니다. 이것이 의미하는 바는 취약점이 발견되면 Project Zero가 공개적으로 문서화하려면 90일을 기다려야 합니다. 기술적인 세부사항. 이를 통해 공급업체는 공격자가 이를 악용하기 전에 소프트웨어의 결함을 패치할 수 있습니다.

프로젝트 제로는 지금 새로운 모델 시험 중 2021년에는 OEM이 영향을 받는 사용자에게 패치를 출시할 수 있도록 한 달 더 추가 혜택을 제공합니다. 이전에는 패치 발행 여부에 관계없이 90일 기한이 경과하자마자 취약점에 대한 기술 문서가 작성되었습니다. 새 모델에서는 OEM이 90일 이내에 문제를 해결하면 문제 해결 후 30일 후에 기술 문서가 작성됩니다.

구글은 새로운 90+30 정책이 패치 채택을 공개 프로그램의 명시적인 부분으로 만드는 것을 목표로 한다고 밝혔습니다. 공급업체는 90일 동안 패치를 개발하고 30일 동안 사용자에게 수정 사항을 배포해야 합니다.

""90+30" 모델로 전환하면 패치 채택 시간에서 패치 시간을 분리할 수 있어 이에 대한 논쟁을 줄일 수 있습니다. 공격자/방어자 절충 및 기술 세부 정보 공유, 최종 사용자가 취약한 시간을 줄이기 위해 옹호 알려진 공격에 대해"라고 Project Zero의 관리자인 Tim Willis는 블로그 게시물에서 말했습니다.

활발하게 악용되고 있는 In-the-wild 취약점에는 여전히 7일의 공개 기한이 제공됩니다. 하지만 이제 문제가 7일 이내에 패치되면 Google은 수정 후 30일 후에 기술 세부정보를 게시합니다. 이전에는 Google은 문제가 해결된 시점에 관계없이 7일차에 세부정보를 게시했습니다. 또한 공급업체는 이전에는 제공되지 않았던 이러한 성격의 취약점에 대해 3일 유예 기간을 요청할 수도 있습니다.

Project Zero 팀은 이 새로운 정책이 기술적 세부 사항을 대중에게 신속하게 공개하는 것을 우선시했던 이전 입장에서 약간 후퇴했다는 점을 인정합니다. 그러나 팀은 가까운 시일 내에 공개 기한을 단축할 계획이므로 이러한 완화된 정책이 너무 오래 지속되지는 않을 것이라고 지적합니다. 팀은 2022년에는 84+28 모델로 전환할 가능성이 높다고 암시했습니다.