Гоогле-ов тим за безбедност Пројецт Зеро сада ће чекати 90 дана да открије све рањивости које пронађу

Гоогле-ов тим за безбедност Пројецт Зеро сада ће сачекати пуних 90 дана пре него што открије рањивости које открије.

Пројецт Зеро је безбедносно одељење запослено у Гуглу, који је био основан 2014. године. Примарна мисија тима је да открије рањивости нултог дана – то јест, рањивости које су непознате (или којима се не адресира) страна која би требало да буде заинтересована за њихово ублажавање. "Хеартблеед" је један такав експлоат нултог дана, што су два одвојена безбедносна тима приватно пријавила ОпенССЛ-у. Један од ових безбедносних тимова је деловао под Гуглом и на крају је довео до стварања пројекта Зеро. Грешка је откривена у априлу 2014. године, верзија ОпенССЛ-а са исправљеном грешком објављена је неколико дана касније заједно са потпуним откривањем грешке. Ово потпуно откривање је значило да су системи који нису одмах ажурирани били у опасности, иако то генерално служи као мотивација за програмерске тимове да ажурирају свој софтвер.

Од тада, Гоогле-ов пројекат Зеро је радио на сличан начин. Када се открије грешка нултог дана, тим је приватно пријављује компанији која је власник софтвера. Од датума откривања, компанија има 90 дана да исправи грешку. Ако то поправе пре него што се заврши период од 90 дана, Гоогле ће објавити детаље о рањивости. Ако прође 90 дана, а да то није поправљено, тим ће ипак ослободити рањивост, која има за циљ да корисници свесни проблема који софтвер који користе може имати, а истовремено потенцијално мотивишу компанију да ради брже. Постоји једна мана коју произвођачи примећују код овог система, а баш као и код Хеартблееда, то је што корисници (или програмери) можда неће моћи да надограде своје системе довољно брзо пре него што постану жртва експлоатације. Из тог разлога, Пројецт Зеро тим је најавио да током године пробно чекају 90 дана без обзира колико брзо (или споро) се рањивост поправља.

Не утиче на Гоогле-ову политику откривања грешака у року од 7 дана ако пронађу доказе да се грешка искоришћава у природи. У истом посту на блогу, Пројецт Зеро тим је најавио и низ других малих промена. Гоогле такође са поносом објављује да је 97,7% свих проблема које открију поправљено у року од 90 дана. У наставку можете прочитати цео пост на блогу.


Извор: Гоогле Пројецт Зеро