Пројецт Зеро тестира нови модел за откривање рањивости које ће ОЕМ произвођачима дати више времена да уведу закрпе погођеним корисницима.
Гооглеов Пројецт Зеро тим најављује неке велике промене у начину на који открива безбедносне пропусте јавности. Од свог покретања, Пројецт Зеро је пратио строги рок за откривање података од 90 дана. Ово значи када се пронађе рањивост, пројекат Нула ће то учинити сачекајте 90 дана пре него што јавно документујете техничке детаље. Ово омогућава продавцима да закрпе недостатак у свом софтверу пре него што га нападачи искористе.
Пројекат Нула је сада испробавање новог модела за 2021. који ће произвођачима оригиналне опреме дати додатни месец да уведу закрпе погођеним корисницима. Раније се техничка документација рањивости дешавала чим је истекао рок од 90 дана — без обзира да ли је закрпа издата или не. У новом моделу, ако ОЕМ реши проблем у року од 90 дана, техничка документација ће се појавити 30 дана након поправке.
Гоогле каже да нова политика 90+30 има за циљ да усвајање закрпе постане експлицитни део програма откривања података. Продавци ће имати 90 дана да развију закрпу и 30 дана да покрену исправку својим корисницима.
"Прелазак на модел „90+30“ нам омогућава да одвојимо време за закрпу од времена усвајања закрпе, смањимо спорну дебату око компромиси између нападача и браниоца и дељење техничких детаља, док се залаже за смањење времена у којем су крајњи корисници рањиви на познате нападе,“, рекао је менаџер Пројецт Зеро Тим Виллис у блог посту.
Рањивости у природи, које се активно искоришћавају, и даље ће имати рок за откривање од 7 дана. Али сада, ако проблем буде закрпљен у року од 7 дана, Гоогле ће објавити техничке детаље 30 дана након поправке. Раније би Гоогле објављивао детаље 7. дана без обзира на то када је проблем решен. Штавише, продавци сада такође могу да затраже тродневни грејс период за рањивости ове природе, што раније није било понуђено.
Пројецт Зеро тим признаје да је ова нова политика благо назадовање у односу на њихов ранији став, који је давао приоритет брзом објављивању техничких детаља јавности. Међутим, тим напомиње да се ова опуштена политика неће дуго задржати јер ће у блиској будућности настојати да скрате рок за објављивање. Тим је наговестио да ће за 2022. вероватно прећи на модел 84+28.