Project Zero тестирует новую модель обнаружения уязвимостей, которая даст OEM-производителям больше времени для развертывания исправлений для затронутых пользователей.
Команда Google Project Zero объявляет о некоторых больших изменениях в том, как она раскрывает общественности уязвимости безопасности. С момента запуска Project Zero соблюдал строгий 90-дневный срок раскрытия информации. Это означает, что при обнаружении уязвимости Project Zero подождите 90 дней, прежде чем публично документировать технические детали. Это позволяет поставщикам исправить уязвимость в своем программном обеспечении до того, как злоумышленники смогут ею воспользоваться.
Проект Ноль сейчас тестируем новую модель на 2021 год, что предоставит OEM-производителям дополнительный месяц для развертывания исправлений для затронутых пользователей. Ранее техническая документация уязвимости происходила по истечении 90-дневного срока — независимо от того, был выпущен патч или нет. В новой модели, если OEM-производитель устранит проблему в течение 90-дневного периода, техническая документация появится через 30 дней после исправления.
Google заявляет, что новая политика 90+30 направлена на то, чтобы сделать принятие патча явной частью программы раскрытия информации. У поставщиков будет 90 дней на разработку исправления и 30 дней на распространение исправления среди своих пользователей.
"Переход к модели «90+30» позволяет нам отделить время разработки патча от времени его принятия, уменьшить споры вокруг компромиссы между атакующим и защитником и обмен техническими деталями, одновременно выступая за сокращение времени, в течение которого конечные пользователи остаются уязвимыми. известным атакам,", - сказал менеджер Project Zero Тим Уиллис в своем блоге.
Существующие уязвимости, которые активно эксплуатируются, по-прежнему будут иметь 7-дневный срок раскрытия. Но теперь, если проблема будет исправлена в течение 7 дней, Google опубликует технические подробности через 30 дней после исправления. Ранее Google публиковал подробности на седьмой день независимо от того, когда проблема была устранена. Более того, поставщики теперь могут запросить трехдневный льготный период для уязвимостей такого рода, чего раньше не предлагалось.
Команда Project Zero признает, что эта новая политика представляет собой небольшой отход от их прежней позиции, которая предусматривала быстрое раскрытие технических подробностей для общественности. Однако команда отмечает, что эта смягченная политика не будет сохраняться слишком долго, поскольку в ближайшем будущем они будут стремиться сократить срок раскрытия информации. Команда намекнула, что в 2022 году они, скорее всего, перейдут на модель 84+28.