Proiectul Zero testează un nou model pentru a dezvălui vulnerabilitățile care vor oferi mai mult timp OEM-urilor să lanseze patch-uri utilizatorilor afectați.
Echipa Google Project Zero anunță câteva schimbări majore în modul în care dezvăluie vulnerabilitățile de securitate publicului. De la lansare, Proiectul Zero a respectat un termen limită strict de divulgare de 90 de zile. Ceea ce înseamnă aceasta este că atunci când se găsește o vulnerabilitate, Project Zero o va face așteptați 90 de zile înainte de a documenta public detaliile tehnice. Acest lucru permite vânzătorilor să corecteze defectul din software-ul lor înainte ca atacatorii să o poată exploata.
Proiectul Zero este acum testarea unui nou model pentru 2021, care va acorda OEM-urilor o lună suplimentară pentru a lansa patch-uri către utilizatorii afectați. Anterior, documentația tehnică a unei vulnerabilități a avut loc de îndată ce termenul de 90 de zile a expirat – indiferent dacă a fost emis sau nu un patch. În noul model, dacă un OEM remediază problema în perioada de 90 de zile, documentația tehnică va avea loc la 30 de zile după remediere.
Google spune că noua politică 90+30 urmărește să facă adoptarea patch-urilor o parte explicită a programului de divulgare. Furnizorii vor avea la dispoziție 90 de zile pentru a dezvolta patch-ul și 30 de zile pentru a lansa remedierea utilizatorilor lor.
"Trecerea la un model „90+30” ne permite să decuplăm timpul pentru corecție de timpul de adoptare a patch-urilor, reducând dezbaterea controversată în jurul compromisuri atacator/apărător și partajarea detaliilor tehnice, susținând în același timp reducerea timpului în care utilizatorii finali sunt vulnerabili la atacuri cunoscute,„, a spus managerul Project Zero, Tim Willis, într-o postare pe blog.
Vulnerabilitățile din sălbăticie, care sunt exploatate în mod activ, vor avea în continuare un termen limită de divulgare de 7 zile. Dar acum, dacă o problemă este remediată în 7 zile, Google va publica detaliile tehnice la 30 de zile de la remediere. Anterior, Google ar publica detaliile în a 7-a zi, indiferent de momentul în care problema a fost remediată. În plus, vânzătorii pot solicita acum și o perioadă de grație de 3 zile pentru vulnerabilități de această natură, care nu era oferită înainte.
Echipa Project Zero recunoaște că această nouă politică este o ușoară regresie față de poziția lor anterioară, care a prioritizat publicarea rapidă a detaliilor tehnice pentru public. Cu toate acestea, echipa observă că această politică relaxată nu va rămâne prea mult timp, deoarece vor căuta să scurteze termenul limită de dezvăluire în viitorul apropiat. Echipa a sugerat că pentru 2022, probabil că se vor muta la un model 84+28.