Project Zero จะให้เวลา OEM เพิ่มเติมอีกหนึ่งเดือนในการเปิดตัวการแก้ไข

สรุปข่าวNov 13, 2023

Project Zero กำลังทดลองใช้โมเดลใหม่เพื่อเปิดเผยช่องโหว่ที่จะให้เวลาแก่ OEM มากขึ้นในการเผยแพร่แพตช์ให้กับผู้ใช้ที่ได้รับผลกระทบ

ทีมงาน Project Zero ของ Google กำลังประกาศการเปลี่ยนแปลงครั้งใหญ่เกี่ยวกับวิธีการเปิดเผยช่องโหว่ด้านความปลอดภัยต่อสาธารณะ นับตั้งแต่เปิดตัว Project Zero ได้ปฏิบัติตามกำหนดเวลาการเปิดเผยข้อมูลที่เข้มงวดภายใน 90 วัน ความหมายคือเมื่อพบช่องโหว่ Project Zero จะทำ รอ 90 วันก่อนจัดทำเอกสารต่อสาธารณะ รายละเอียดทางเทคนิค ช่วยให้ผู้ขายสามารถแก้ไขข้อบกพร่องในซอฟต์แวร์ของตนก่อนที่ผู้โจมตีจะสามารถโจมตีได้

โปรเจ็กต์ซีโร่อยู่ในขณะนี้ ทดลองใช้โมเดลใหม่ สำหรับปี 2021 ที่จะให้สิทธิ์ OEM เพิ่มอีกเดือนเพื่อเผยแพร่แพตช์ให้กับผู้ใช้ที่ได้รับผลกระทบ ก่อนหน้านี้ เอกสารทางเทคนิคเกี่ยวกับช่องโหว่เกิดขึ้นทันทีที่พ้นกำหนดเวลา 90 วัน โดยไม่คำนึงว่ามีการออกแพตช์หรือไม่ก็ตาม ในรูปแบบใหม่ หาก OEM แก้ไขปัญหาภายในระยะเวลา 90 วัน เอกสารทางเทคนิคจะเกิดขึ้น 30 วันหลังจากการแก้ไข

Google กล่าวว่านโยบาย 90+30 ใหม่มีจุดมุ่งหมายเพื่อให้การนำแพทช์ไปใช้เป็นส่วนที่ชัดเจนของโปรแกรมการเปิดเผยข้อมูล ผู้ขายจะมีเวลา 90 วันในการพัฒนาแพตช์ และ 30 วันในการเปิดตัวการแก้ไขให้กับผู้ใช้ของตน

"การย้ายไปสู่โมเดล "90+30" ช่วยให้เราสามารถแยกเวลาในการแพตช์จากเวลาการนำแพตช์มาใช้ ลดการถกเถียงที่ถกเถียงกันรอบ ๆ การแลกเปลี่ยนระหว่างผู้โจมตี/ผู้พิทักษ์ และการแบ่งปันรายละเอียดทางเทคนิค ในขณะเดียวกันก็สนับสนุนการลดระยะเวลาที่ผู้ใช้ปลายทางมีความเสี่ยง ไปสู่การโจมตีที่รู้จักTim Willis ผู้จัดการ Project Zero กล่าวในบล็อกโพสต์

ช่องโหว่ในป่าซึ่งมีการถูกโจมตีอย่างแข็งขัน จะยังคงได้รับกำหนดเวลาการเปิดเผยข้อมูลภายใน 7 วัน แต่ตอนนี้ หากปัญหาได้รับการแก้ไขภายใน 7 วัน Google จะเผยแพร่รายละเอียดทางเทคนิค 30 วันหลังการแก้ไข ก่อนหน้านี้ Google จะเผยแพร่รายละเอียดในวันที่ 7 ไม่ว่าปัญหาจะได้รับการแก้ไขเมื่อใด นอกจากนี้ ผู้ขายยังสามารถขอระยะเวลาผ่อนผัน 3 วันสำหรับช่องโหว่ในลักษณะนี้ ซึ่งไม่เคยมีมาก่อน

ทีมงาน Project Zero รับทราบว่านโยบายใหม่นี้เป็นการถดถอยเล็กน้อยจากจุดยืนก่อนหน้านี้ ซึ่งให้ความสำคัญกับการเปิดเผยรายละเอียดทางเทคนิคสู่สาธารณะอย่างรวดเร็ว อย่างไรก็ตาม ทีมงานตั้งข้อสังเกตว่านโยบายที่ผ่อนคลายนี้จะไม่คงอยู่นานเกินไป เนื่องจากพวกเขาต้องการลดระยะเวลาการเปิดเผยข้อมูลให้สั้นลงในอนาคตอันใกล้นี้ ทีมงานบอกเป็นนัยว่าในปี 2022 พวกเขามีแนวโน้มที่จะเปลี่ยนไปใช้รุ่น 84+28