„Project Zero“ bando naują modelį, kad atskleistų pažeidžiamumus, kurie suteiks daugiau laiko originalios įrangos gamintojams įdiegti pataisas paveiktiems vartotojams.
„Google“ projekto „Zero“ komanda praneša apie keletą didelių pakeitimų, kaip visuomenei atskleisti saugumo spragas. Nuo pat paleidimo „Project Zero“ laikėsi griežto 90 dienų atskleidimo termino. Tai reiškia, kad kai bus rastas pažeidžiamumas, „Project Zero“ tai padarys prieš viešai dokumentuodami palaukite 90 dienų technines detales. Tai leidžia pardavėjams pataisyti savo programinės įrangos trūkumą, kol užpuolikai gali ja pasinaudoti.
Projektas Zero dabar yra išbandyti naują modelį 2021 m., kuris suteiks originalios įrangos gamintojams papildomą mėnesį pataisoms išplatinti paveiktiems vartotojams. Anksčiau techniniai pažeidžiamumo dokumentai buvo pateikti, kai tik pasibaigė 90 dienų terminas, neatsižvelgiant į tai, ar pataisa buvo išleista, ar ne. Naujajame modelyje, jei OĮG ištaisys problemą per 90 dienų laikotarpį, techninė dokumentacija bus parengta praėjus 30 dienų po pataisymo.
„Google“ teigia, kad nauja 90+30 politika siekiama, kad pataisų priėmimas būtų aiški atskleidimo programos dalis. Pardavėjai turės 90 dienų pataisą sukurti ir 30 dienų pataisymui pateikti savo vartotojams.
"Perėjimas prie modelio „90+30“ leidžia atskirti pataisymo laiką nuo pataisų priėmimo laiko, sumažinant ginčytinas diskusijas apie užpuoliko ir gynėjo kompromisai ir dalijimasis techninėmis detalėmis, kartu skatinant sumažinti laiką, per kurį galutiniai vartotojai gali būti pažeidžiami į žinomus išpuolius,“, – savo tinklaraščio įraše sakė „Project Zero“ vadovas Timas Willisas.
In-the-Wild pažeidžiamumų, kurie yra aktyviai išnaudojami, vis tiek bus suteiktas 7 dienų atskleidimo terminas. Tačiau dabar, jei problema bus pataisyta per 7 dienas, „Google“ paskelbs techninę informaciją praėjus 30 dienų nuo pataisymo. Anksčiau „Google“ skelbdavo išsamią informaciją 7 dieną, neatsižvelgiant į tai, kada problema buvo išspręsta. Be to, pardavėjai dabar taip pat gali prašyti 3 dienų lengvatinio laikotarpio tokio pobūdžio pažeidžiamumui, kuris anksčiau nebuvo pasiūlytas.
„Project Zero“ komanda pripažįsta, kad ši nauja politika yra šiek tiek nukrypimas nuo ankstesnės pozicijos, pagal kurią pirmenybė buvo teikiama greitam techninės informacijos paskelbimui visuomenei. Tačiau komanda pažymi, kad ši sušvelninta politika truks per ilgai, nes artimiausiu metu jie sieks sutrumpinti atskleidimo terminą. Komanda užsiminė, kad 2022 m. jie greičiausiai pereis prie 84+28 modelio.