Project Zero preizkuša nov model za razkrivanje ranljivosti, ki bo proizvajalcem originalne opreme dal več časa za uvedbo popravkov prizadetim uporabnikom.
Googlova ekipa Project Zero napoveduje nekaj velikih sprememb v tem, kako javnosti razkriva varnostne ranljivosti. Od svoje uvedbe je Project Zero sledil strogemu 90-dnevnemu roku za razkritje. To pomeni, da bo projekt Zero, ko je najdena ranljivost počakajte 90 dni pred javno dokumentacijo tehnične podrobnosti. To prodajalcem omogoča, da popravijo napako v svoji programski opremi, preden jo lahko napadalci izkoristijo.
Projekt Zero je zdaj preizkušanje novega modela za leto 2021, ki bo proizvajalcem originalne opreme dal dodaten mesec za uvedbo popravkov za prizadete uporabnike. Prej se je tehnična dokumentacija ranljivosti zgodila takoj, ko je potekel 90-dnevni rok - ne glede na to, ali je bil popravek izdan ali ne. Če proizvajalec originalne opreme v novem modelu odpravi težavo v 90-dnevnem obdobju, bo tehnična dokumentacija nastala 30 dni po popravku.
Google pravi, da je cilj nove politike 90+30 sprejetje popravkov izrecni del programa razkritja. Prodajalci bodo imeli 90 dni časa za razvoj popravka in 30 dni za uvedbo popravka svojim uporabnikom.
"Prehod na model "90+30" nam omogoča, da ločimo čas za popravek od časa za sprejetje popravkov, zmanjšamo sporno razpravo o kompromise med napadalcem in branilcem ter izmenjavo tehničnih podrobnosti, hkrati pa zagovarja zmanjšanje časa, v katerem so končni uporabniki ranljivi na znane napade,« je povedal vodja projekta Zero Tim Willis v objavi na blogu.
In-the-wild ranljivosti, ki se aktivno izkoriščajo, bodo še vedno imele 7-dnevni rok za razkritje. Toda zdaj, če se težava odpravi v 7 dneh, bo Google objavil tehnične podrobnosti 30 dni po popravku. Prej je Google podrobnosti objavil sedmi dan, ne glede na to, kdaj je bila težava odpravljena. Poleg tega lahko prodajalci zdaj zahtevajo tudi 3-dnevno obdobje odloga za tovrstne ranljivosti, kar prej ni bilo na voljo.
Ekipa Project Zero priznava, da je ta nova politika rahlo odstopanje od prejšnjega stališča, ki je dajalo prednost hitri objavi tehničnih podrobnosti javnosti. Vendar ekipa ugotavlja, da ta sproščena politika ne bo vztrajala predolgo, saj si bodo prizadevali skrajšati rok za razkritje v bližnji prihodnosti. Ekipa je namignila, da bodo leta 2022 verjetno prešli na model 84+28.