Googlova varnostna ekipa Project Zero bo zdaj počakala celih 90 dni, preden bo razkrila ranljivosti, ki jih je odkrila.
Project Zero je varnostni oddelek, zaposlen pri Googlu, ki je bil ustanovljeno leta 2014. Glavna naloga ekipe je odkriti ranljivosti ničelnega dne – to je ranljivosti, ki niso znane (ali jih ne obravnava) stran, ki bi morala biti zainteresirana za njihovo ublažitev. "Heartbleed" je en tak zero-day exploit, ki sta ga dve ločeni varnostni skupini zasebno prijavili OpenSSL. Ena od teh varnostnih ekip je delovala pod Googlom in je sčasoma privedla do ustanovitve Project Zero. Napaka je bila odkrita aprila 2014, zgradba OpenSSL z odpravljeno napako je bila izdana nekaj dni kasneje skupaj s popolnim razkritjem napake. To popolno razkritje je pomenilo, da so bili sistemi, ki niso posodobljeni takoj, ogroženi, čeprav to na splošno služi kot motivacija za ekipe razvijalcev, da posodobijo svojo programsko opremo.
Od takrat je Googlov Project Zero deloval na podoben način. Ko je odkrita napaka ničelnega dne, jo ekipa zasebno prijavi podjetju, ki je lastnik programske opreme. Od datuma razkritja ima podjetje 90 dni časa, da napako odpravi. Če jo popravijo pred iztekom 90-dnevnega obdobja, bo Google objavil podrobnosti o ranljivosti. Če mine 90 dni, ne da bi bila odpravljena, bo ekipa vseeno sprostila ranljivost, kar naj bi uporabniki zavedajo težav, ki jih lahko ima programska oprema, ki jo uporabljajo, hkrati pa potencialno motivirajo podjetje za delo hitreje. Obstaja ena napaka, ki jo prodajalci zaznavajo pri tem sistemu, in tako kot pri Heartbleedu je to, da uporabniki (ali razvijalci) morda ne bodo mogli dovolj hitro nadgraditi svojih sistemov, preden postanejo žrtev izkoriščanje. Iz tega razloga je ekipa Project Zero objavila, da bodo eno leto poskusno čakali na 90 dni, ne glede na to, kako hitro (ali počasi) je ranljivost odpravljena.
To ne vpliva na Googlovo politiko razkritja hroščev v 7 dneh, če najdejo dokaze, da se hroščev izkorišča v naravi. V istem blogu je ekipa Project Zero napovedala tudi številne druge majhne spremembe. Google prav tako ponosno sporoča, da je 97,7 % vseh težav, ki jih odkrijejo, odpravljenih v 90-dnevnem oknu. Celotno objavo v blogu lahko preberete spodaj.
Vir: Google Project Zero