Bezpečnostný tím spoločnosti Google Project Zero teraz počká celých 90 dní, kým odhalí chyby zabezpečenia, ktoré objavia.
Project Zero je bezpečnostná divízia zamestnaná spoločnosťou Google, ktorá bola založená v roku 2014. Primárnym poslaním tímu je objaviť zero-day zraniteľnosti – teda zraniteľnosti, ktoré nepozná (alebo nerieši) strana, ktorá by sa mala zaujímať o ich zmiernenie. "Srdcové krvácanie" je jeden taký zero-day exploit, ktorý súkromne nahlásili dva samostatné bezpečnostné tímy OpenSSL. Jeden z týchto bezpečnostných tímov fungoval pod spoločnosťou Google a nakoniec viedol k vytvoreniu Project Zero. Chyba bola objavená v apríli 2014, zostava OpenSSL s opravenou chybou bola vydaná o niekoľko dní neskôr spolu s úplným odhalením chyby. Toto úplné zverejnenie znamenalo, že systémy, ktoré neboli okamžite aktualizované, boli ohrozené, hoci to vo všeobecnosti slúži ako motivácia pre tímy vývojárov, aby aktualizovali svoj softvér.
Odvtedy projekt Zero od Google funguje podobným spôsobom. Keď sa zistí chyba nultého dňa, tím ju súkromne nahlási ktorejkoľvek spoločnosti, ktorá vlastní softvér. Od dátumu zverejnenia má spoločnosť 90 dní na opravu chyby. Ak to opravia pred uplynutím 90-dňového okna, Google zverejní podrobnosti o zraniteľnosti. Ak uplynie 90 dní bez toho, aby sa to opravilo, tím chybu aj tak uvoľní, čo má za cieľ používatelia si uvedomujú problémy, ktoré môže mať softvér, ktorý používajú, a zároveň potenciálne motivujú spoločnosť k práci rýchlejšie. Existuje jedna chyba, ktorú predajcovia vnímajú pri tomto systéme, a rovnako ako pri Heartbleed, ide o používateľov (alebo vývojári) nemusia byť schopní aktualizovať svoje systémy dostatočne rýchlo, kým sa nestanú obeťou vykorisťovanie. Z tohto dôvodu tím Project Zero oznámil, že tento rok skúša čakanie 90 dní bez ohľadu na to, ako rýchlo (alebo pomaly) bude zraniteľnosť opravená.
Zásady spoločnosti Google zverejňovať chyby do 7 dní, ak nájdu dôkaz, že sa chyba využíva vo voľnej prírode, nie sú ovplyvnené. V tom istom blogovom príspevku tím Project Zero oznámil aj niekoľko ďalších malých zmien. Google tiež s hrdosťou oznamuje, že 97,7 % všetkých problémov, ktoré zistia, je opravených do 90 dní. Celý blogový príspevok si môžete prečítať nižšie.
Zdroj: Google Project Zero