Googles Project Zero-säkerhetsteam kommer nu att vänta i hela 90 dagar innan de avslöjar sårbarheter som de upptäcker.
Project Zero är en säkerhetsavdelning anställd av Google, vilket var grundades 2014. Teamets primära uppdrag är att upptäcka zero-day sårbarheter - det vill säga sårbarheter som är okända (eller oadresserade av) den part som borde vara intresserad av att mildra dem. "Heartbleed" är en sådan nolldagsexploatering, som privatrapporterades av två separata säkerhetsteam till OpenSSL. Ett av dessa säkerhetsteam verkade under Google och ledde så småningom till skapandet av Project Zero. Felet upptäcktes i april 2014, en version av OpenSSL med buggen fixad släpptes några dagar senare tillsammans med fullständig avslöjande av buggen. Detta fullständiga avslöjande innebar att system som inte uppdaterades omedelbart var i riskzonen, även om det i allmänhet fungerar som en motivation för utvecklarteam att uppdatera sin programvara.
Sedan dess har Googles Project Zero fungerat på liknande sätt. När ett nolldagsfel upptäcks rapporterar teamet det privat till vilket företag som än äger programvaran. Från datumet för avslöjandet har företaget 90 dagar på sig att fixa felet. Om de åtgärdar det innan 90-dagarsperioden är klar kommer Google att släppa information om sårbarheten. Om de 90 dagarna går utan att det är åtgärdat kommer teamet att släppa sårbarheten ändå, vilket är avsett att göra användare som är medvetna om de problem som programvaran de använder kan ha, samtidigt som de potentiellt kan motivera företaget att arbeta snabbare. Det finns en brist som leverantörer uppfattar med det här systemet, och precis som med Heartbleed är det att användare (eller utvecklare) kanske inte kan uppgradera sina system tillräckligt snabbt innan de blir offer för utnyttjande. Av denna anledning har Project Zero-teamet meddelat att de under året testar att vänta i 90 dagar oavsett hur snabbt (eller långsamt) sårbarheten åtgärdas.
Googles policy att avslöja buggar inom 7 dagar om de hittar bevis för att buggen utnyttjas i naturen påverkas inte. I samma blogginlägg har Project Zero-teamet även meddelat ett antal andra små förändringar. Google är också stolta över att kunna meddela att 97,7 % av alla problem som de upptäcker åtgärdas inom 90-dagarsperioden. Du kan läsa hela blogginlägget nedan.
Källa: Google Project Zero