Команда безопасности Google Project Zero теперь будет ждать полные 90 дней, прежде чем раскрывать обнаруженные ими уязвимости.
Project Zero — подразделение безопасности, работающее в Google. основана в 2014 году. Основная задача группы — обнаружение уязвимостей нулевого дня, то есть уязвимостей, которые неизвестны (или не устранены) стороной, которая должна быть заинтересована в их устранении. «Кровотечение сердца» - это один из таких эксплойтов нулевого дня, о чем OpenSSL в частном порядке сообщили две отдельные группы безопасности. Одна из этих групп безопасности работала под руководством Google и в конечном итоге привела к созданию Project Zero. Ошибка была обнаружена в апреле 2014 года, через несколько дней была выпущена сборка OpenSSL с исправленной ошибкой вместе с полным раскрытием ошибки. Такое полное раскрытие информации означало, что системы, не обновленные немедленно, подвергались риску, хотя обычно это служит мотивацией для команд разработчиков обновлять свое программное обеспечение.
С тех пор Google Project Zero работает аналогичным образом. При обнаружении ошибки нулевого дня команда в частном порядке сообщает об этом компании, владеющей программным обеспечением. С момента раскрытия у компании есть 90 дней на исправление ошибки. Если они исправят проблему до истечения 90-дневного периода, Google опубликует подробную информацию об уязвимости. Если в течение 90 дней уязвимость не будет исправлена, команда все равно выпустит уязвимость, что призвано пользователи знают о проблемах, с которыми может столкнуться программное обеспечение, которое они используют, а также потенциально мотивируют компанию к работе Быстрее. Есть один недостаток, который производители видят в этой системе: как и в случае с Heartbleed, пользователи (или разработчики), возможно, не смогут обновить свои системы достаточно быстро, прежде чем станут жертвой эксплуатация. По этой причине команда Project Zero объявила, что в этом году они пробуют выжидать 90 дней, независимо от того, насколько быстро (или медленно) будет устранена уязвимость.
Политика Google по раскрытию ошибок в течение 7 дней, если они обнаруживают доказательства того, что ошибка используется в реальных условиях, не затрагивается. В том же сообщении в блоге команда Project Zero также объявила о ряде других небольших изменений. Google также с гордостью сообщает, что 97,7% всех обнаруженных проблем устраняются в течение 90 дней. Вы можете прочитать полный пост в блоге ниже.
Источник: Google Проект Ноль