Google Project Zero drošības komanda tagad nogaidīs visas 90 dienas, pirms tiks atklātas atklātās ievainojamības.
Project Zero ir drošības nodaļa, ko nodarbina Google, kas bija dibināta 2014. gadā. Komandas galvenais uzdevums ir atklāt nulles dienas ievainojamības — tas ir, ievainojamības, kuras pusei, kurai vajadzētu būt ieinteresētai tās mazināšanā, nav zināmas (vai tās nav novērstas). "Heartbleed" ir viens šāds nulles dienas eksploats, par ko OpenSSL privāti ziņoja divas atsevišķas drošības komandas. Viena no šīm drošības komandām darbojās Google pakļautībā un galu galā noveda pie Project Zero izveides. Kļūda tika atklāta 2014. gada aprīlī, dažas dienas vēlāk tika izlaista OpenSSL versija ar labotu kļūdu, kā arī pilnīga kļūdas atklāšana. Šī pilnīga atklāšana nozīmēja, ka sistēmas, kas netika atjauninātas nekavējoties, tika apdraudētas, lai gan tas parasti kalpo kā motivācija izstrādātāju komandām atjaunināt programmatūru.
Kopš tā laika Google projekts Zero ir strādājis līdzīgā veidā. Kad tiek atklāta nulles dienas kļūda, komanda par to privāti ziņo uzņēmumam, kuram programmatūra pieder. No izpaušanas datuma uzņēmumam ir 90 dienas, lai novērstu kļūdu. Ja viņi to izlabos pirms 90 dienu perioda beigām, Google publicēs informāciju par ievainojamību. Ja 90 dienas paies bez tā novēršanas, komanda jebkurā gadījumā atbrīvos ievainojamību, kuras mērķis ir lietotāji apzinās viņu izmantotās programmatūras problēmas, vienlaikus potenciāli motivējot uzņēmumu strādāt ātrāk. Ir viens trūkums, ko pārdevēji uztver šajā sistēmā, un tāpat kā Heartbleed, lietotāji (vai izstrādātāji), iespējams, nevarēs pietiekami ātri jaunināt savas sistēmas, pirms kļūst par upuri ekspluatācija. Šī iemesla dēļ Project Zero komanda ir paziņojusi, ka gada laikā viņi izmēģina 90 dienas neatkarīgi no tā, cik ātri (vai lēni) tiek novērsta ievainojamība.
Google politika par kļūdu izpaušanu 7 dienu laikā, ja tiek atrasti pierādījumi, ka šī kļūda tiek izmantota savvaļā, netiek ietekmēta. Tajā pašā emuāra ierakstā Project Zero komanda ir paziņojusi arī par vairākām citām nelielām izmaiņām. Google arī ar lepnumu paziņo, ka 97,7% no visām atklātajām problēmām tiek novērstas 90 dienu laikā. Pilnu emuāra ierakstu varat izlasīt zemāk.
Avots: Google Project Zero