Project Zero testuje nový model na odhalenie zraniteľností, ktoré poskytnú výrobcom OEM viac času na zavedenie opráv pre dotknutých používateľov.
Tím projektu Google Project Zero oznamuje veľké zmeny v tom, ako verejnosti odhaľuje slabé miesta v zabezpečení. Od svojho spustenia Project Zero dodržiava prísnu 90-dňovú lehotu na zverejnenie. To znamená, že keď sa nájde zraniteľnosť, Project Zero to urobí počkajte 90 dní pred verejným dokumentovaním technické detaily. To umožňuje dodávateľom opraviť chybu vo svojom softvéri skôr, ako ju môžu zneužiť útočníci.
Project Zero je teraz skúšanie nového modelu na rok 2021, ktorý výrobcom OEM poskytne ďalší mesiac na zavedenie opráv pre dotknutých používateľov. Predtým sa technická dokumentácia o zraniteľnosti objavila hneď po uplynutí 90-dňovej lehoty – bez ohľadu na to, či bola vydaná oprava alebo nie. Ak v novom modeli OEM opraví problém v rámci 90-dňovej lehoty, technická dokumentácia bude k dispozícii 30 dní po oprave.
Google tvrdí, že cieľom novej politiky 90+30 je urobiť z prijatia opravy explicitnú súčasť programu zverejňovania. Predajcovia budú mať 90 dní na vývoj opravy a 30 dní na to, aby túto opravu zaviedli svojim používateľom.
"Prechod na model „90+30“ nám umožňuje oddeliť čas na opravu od času prijatia záplaty, čím sa zníži sporná diskusia kompromisy medzi útočníkom a obrancom a zdieľanie technických detailov, pričom sa zasadzuje za skrátenie času, počas ktorého sú koncoví používatelia zraniteľní na známe útoky,“ uviedol manažér Project Zero Tim Willis v blogovom príspevku.
Zraniteľnosti vo voľnej prírode, ktoré sa aktívne využívajú, budú mať stále 7-dňovú lehotu na zverejnenie. Ak sa však problém opraví do 7 dní, spoločnosť Google zverejní technické podrobnosti 30 dní po oprave. Predtým spoločnosť Google zverejnila podrobnosti na 7. deň bez ohľadu na to, kedy bol problém vyriešený. Okrem toho môžu teraz predajcovia požiadať aj o 3-dňovú lehotu pre zraniteľnosti tohto charakteru, ktoré predtým neboli ponúkané.
Tím projektu Zero uznáva, že táto nová politika je miernym ústupkom od ich predchádzajúceho postoja, ktorý uprednostňoval rýchle zverejňovanie technických podrobností. Tím však poznamenáva, že táto uvoľnená politika nebude trvať príliš dlho, pretože sa v blízkej budúcnosti bude snažiť skrátiť termín zverejnenia. Tím naznačil, že v roku 2022 pravdepodobne prejdú na model 84+28.