Zespół Google ds. bezpieczeństwa Project Zero będzie teraz czekać pełne 90 dni, zanim ujawni wykryte luki.
Project Zero to dział bezpieczeństwa zatrudniony przez Google, który był założona w 2014 roku. Podstawową misją zespołu jest wykrywanie luk typu zero-day, czyli luk nieznanych (lub nienaprawionych przez) stronę, która powinna być zainteresowana ich złagodzeniem. „Heartbleed” jest jeden z takich exploitów dnia zerowego, co zostało prywatnie zgłoszone do OpenSSL przez dwa oddzielne zespoły ds. bezpieczeństwa. Jeden z tych zespołów ds. bezpieczeństwa działał w ramach Google i ostatecznie doprowadził do powstania Projektu Zero. Błąd został wykryty w kwietniu 2014 r., a kilka dni później wydano kompilację OpenSSL z naprawionym błędem, wraz z pełnym ujawnieniem błędu. To pełne ujawnienie oznaczało, że systemy, które nie zostały natychmiast zaktualizowane, były zagrożone, chociaż ogólnie stanowi to motywację dla zespołów programistów do aktualizacji oprogramowania.
Od tego czasu projekt Zero firmy Google działa w podobny sposób. Po wykryciu błędu dnia zerowego zespół prywatnie zgłasza go dowolnej firmie będącej właścicielem oprogramowania. Od dnia ujawnienia firma ma 90 dni na naprawienie błędu. Jeśli naprawią błąd przed upływem 90 dni, Google opublikuje szczegółowe informacje na temat luki. Jeśli upłynie 90 dni i nie zostanie to naprawione, zespół mimo to wypuści lukę, co ma na celu świadomość użytkowników problemów, jakie może wiązać się z oprogramowaniem, z którego korzystają, a jednocześnie potencjalnie motywuje firmę do pracy szybciej. Jest jedna wada, którą dostawcy dostrzegają w tym systemie i podobnie jak w przypadku Heartbleed, jest nią użytkownicy (lub programiści) mogą nie być w stanie wystarczająco szybko zaktualizować swoich systemów, zanim staną się ofiarą eksploatacja. Z tego powodu zespół Project Zero ogłosił, że w tym roku będzie próbował odczekać 90 dni, niezależnie od tego, jak szybko (lub wolno) luka zostanie naprawiona.
Nie ma to wpływu na politykę Google dotyczącą ujawniania błędów w ciągu 7 dni, jeśli znajdą dowody na wykorzystanie błędu w środowisku naturalnym. W tym samym poście na blogu zespół Project Zero ogłosił także szereg innych drobnych zmian. Google z dumą ogłasza również, że 97,7% wszystkich wykrytych problemów zostaje naprawionych w ciągu 90 dni. Pełny wpis na blogu możesz przeczytać poniżej.
Źródło: Projekt Google Zero