Project Zero testuje nowy model ujawniania luk w zabezpieczeniach, co da producentom OEM więcej czasu na wdrażanie poprawek dla dotkniętych użytkowników.
Zespół Google Project Zero ogłasza kilka dużych zmian w sposobie ujawniania opinii publicznej luk w zabezpieczeniach. Od momentu uruchomienia Projektu Zero dotrzymano ścisłego 90-dniowego terminu ujawnienia informacji. Oznacza to, że w przypadku znalezienia luki w zabezpieczeniach Project Zero to zrobi odczekaj 90 dni przed publikacją dokumentu szczegóły techniczne. Dzięki temu dostawcy mogą załatać lukę w swoim oprogramowaniu, zanim atakujący będą mogli ją wykorzystać.
Projekt Zero już jest testowanie nowego modelu na rok 2021, co da producentom OEM dodatkowy miesiąc na wdrożenie poprawek dla dotkniętych użytkowników. Wcześniej dokumentacja techniczna luki miała miejsce zaraz po upływie 90-dniowego terminu – niezależnie od tego, czy wydano łatkę, czy nie. W nowym modelu, jeśli producent OEM naprawi problem w ciągu 90 dni, dokumentacja techniczna zostanie udostępniona 30 dni po naprawie.
Google twierdzi, że nowa polityka 90+30 ma na celu uczynienie przyjęcia łatki wyraźną częścią programu ujawniania informacji. Dostawcy będą mieli 90 dni na opracowanie poprawki i 30 dni na udostępnienie jej użytkownikom.
"Przejście na model „90+30” pozwala nam oddzielić czas na wprowadzenie poprawki od czasu przyjęcia poprawki, ograniczyć kontrowersyjną debatę wokół kompromis między atakującym a obrońcą oraz dzielenie się szczegółami technicznymi, opowiadając się jednocześnie za skróceniem czasu, w którym użytkownicy końcowi są bezbronni na znane ataki,” powiedział menadżer Project Zero Tim Willis w poście na blogu.
Aktywnie wykorzystywane luki w zabezpieczeniach będą nadal objęte 7-dniowym terminem ujawnienia. Ale teraz, jeśli problem zostanie naprawiony w ciągu 7 dni, Google opublikuje szczegóły techniczne 30 dni po naprawie. Wcześniej Google publikował szczegółowe informacje siódmego dnia, niezależnie od tego, kiedy problem został naprawiony. Co więcej, dostawcy mogą teraz poprosić o 3-dniowy okres karencji w przypadku luk tego rodzaju, który nie był wcześniej oferowany.
Zespół Project Zero przyznaje, że ta nowa polityka stanowi niewielki regres w stosunku do ich wcześniejszego stanowiska, które nadawało priorytet szybkiemu udostępnianiu opinii publicznej szczegółów technicznych. Zespół zauważa jednak, że ta luźna polityka nie będzie obowiązywać zbyt długo, ponieważ w najbliższej przyszłości firma będzie chciała skrócić termin ujawniania informacji. Zespół zasugerował, że w 2022 r. prawdopodobnie przejdzie na model 84+28.