Echipa de securitate Google Project Zero va aștepta acum 90 de zile înainte de a dezvălui vulnerabilitățile pe care le descoperă.
Project Zero este o divizie de securitate angajată de Google, care a fost fondată în 2014. Misiunea principală a echipei este de a descoperi vulnerabilități zero-day - adică vulnerabilități care sunt necunoscute (sau neabordate de) partea care ar trebui să fie interesată de atenuarea acestora. „Heartbleed” este un astfel de exploit zero-day, care a fost raportat în mod privat de două echipe de securitate separate către OpenSSL. Una dintre aceste echipe de securitate a funcționat sub Google și a condus în cele din urmă la crearea Proiectului Zero. Bug-ul a fost descoperit în aprilie 2014, o versiune a OpenSSL cu eroarea remediată a fost lansată câteva zile mai târziu, împreună cu dezvăluirea completă a erorii. Această dezvăluire completă a însemnat că sistemele care nu au fost actualizate imediat erau în pericol, deși asta servește, în general, ca o motivație pentru echipele de dezvoltatori de a-și actualiza software-ul.
De atunci, Google Project Zero a funcționat într-un mod similar. Când se descoperă o eroare de tip zero-day, echipa o raportează în mod privat către orice companie care deține software-ul. De la data dezvăluirii, compania are 90 de zile pentru a remedia eroarea. Dacă o remediază înainte de finalizarea ferestrei de 90 de zile, Google va publica detalii despre vulnerabilitate. Dacă trec cele 90 de zile fără ca acesta să fie remediat, echipa va elibera oricum vulnerabilitatea, care are scopul de a face utilizatorii conștienți de problemele pe care le poate avea software-ul pe care îl folosesc, motivând totodată compania să lucreze Mai repede. Există un defect pe care vânzătorii îl percep cu acest sistem și, la fel ca și în cazul Heartbleed, este că utilizatorii (sau dezvoltatorii) ar putea să nu-și poată actualiza sistemele suficient de repede înainte de a deveni victima exploatare. Din acest motiv, echipa Project Zero a anunțat că, pentru anul, încearcă să aștepte 90 de zile, indiferent cât de rapid (sau lent) este remediată vulnerabilitatea.
Politica Google de a dezvălui erori în 7 zile dacă găsesc dovezi că bug-ul este exploatat în sălbăticie nu este afectată. În aceeași postare pe blog, echipa Project Zero a anunțat și o serie de alte mici modificări. De asemenea, Google este mândru să anunțe că 97,7% din toate problemele pe care le descoperă sunt rezolvate în intervalul de 90 de zile. Puteți citi mai jos postarea integrală pe blog.
Sursă: Google Project Zero