„Google Project Zero“ saugos komanda dabar lauks visas 90 dienų, kol atskleis aptiktas spragas.
„Project Zero“ yra saugos padalinys, kurį dirba „Google“, kuri buvo įkurta 2014 metais. Pagrindinė komandos misija yra atrasti nulinės dienos pažeidžiamumą – tai yra pažeidžiamumą, kurio nežino (arba kurių nesprendžia) ta šalis, kuri turėtų būti suinteresuota jų mažinimu. "Heartbleed" yra vienas toks nulinės dienos išnaudojimas, apie kurį dvi atskiros saugos komandos privačiai pranešė OpenSSL. Viena iš šių saugos komandų veikė „Google“ ir galiausiai paskatino sukurti „Project Zero“. Klaida buvo aptikta 2014 m. balandžio mėn., po kelių dienų buvo išleista OpenSSL versija su ištaisyta klaida ir visa klaida buvo atskleista. Šis išsamus atskleidimas reiškė, kad iš karto neatnaujintoms sistemoms iškilo pavojus, tačiau tai paprastai yra kūrėjų komandų motyvacija atnaujinti programinę įrangą.
Nuo tada „Google“ projektas „Zero“ veikė panašiai. Kai aptinkama nulinės dienos klaida, komanda privačiai praneša apie tai įmonei, kuriai priklauso programinė įranga. Nuo atskleidimo datos įmonė turi 90 dienų klaidą ištaisyti. Jei jie ją ištaisys nepasibaigus 90 dienų laikotarpiui, „Google“ paskelbs išsamią pažeidžiamumo informaciją. Jei praeis 90 dienų jo nepataisius, komanda vis tiek išleis pažeidžiamumą, kuriuo siekiama vartotojai žino apie problemas, kurias gali turėti jų naudojama programinė įranga, ir taip pat gali motyvuoti įmonę dirbti greičiau. Yra vienas trūkumas, kurį pardavėjai pastebi naudodami šią sistemą, ir, kaip ir „Heartbleed“, vartotojai (arba kūrėjai) gali nesugebėti pakankamai greitai atnaujinti savo sistemų prieš tapdami auka išnaudojimą. Dėl šios priežasties „Project Zero“ komanda paskelbė, kad per metus jie bando laukti 90 dienų, nesvarbu, kaip greitai (ar lėtai) pažeidžiamumas būtų pašalintas.
„Google“ politika atskleisti klaidas per 7 dienas, jei randa įrodymų, kad klaida yra išnaudojama gamtoje, tai neturi įtakos. Tame pačiame tinklaraščio įraše „Project Zero“ komanda paskelbė ir keletą kitų nedidelių pakeitimų. „Google“ taip pat didžiuojasi galėdama pranešti, kad 97,7 % visų aptiktų problemų išsprendžiamos per 90 dienų laikotarpį. Visą tinklaraščio įrašą galite perskaityti žemiau.
Šaltinis: Google Project Zero