Project Zero, OEM'lere düzeltmeleri yayınlamaları için ek bir ay verecek

Project Zero, OEM'lere etkilenen kullanıcılara yama dağıtmaları için daha fazla zaman tanıyacak güvenlik açıklarını açığa çıkarmak için yeni bir model deniyor.

Google'ın Project Zero ekibi, güvenlik açıklarını kamuya açıklama şekliyle ilgili bazı büyük değişiklikleri duyuruyor. Project Zero, lansmanından bu yana 90 günlük katı bir açıklama son tarihini takip etti. Bunun anlamı, bir güvenlik açığı bulunduğunda Project Zero'nun kamuya açık belgelemeden önce 90 gün bekleyin teknik detaylar. Bu, satıcıların, saldırganlar bundan yararlanmadan önce yazılımlarındaki kusuru düzeltmelerine olanak tanır.

Proje Sıfır artık yeni bir model denemek 2021 yılı için bu, OEM'lere etkilenen kullanıcılara yama dağıtmaları için ek bir ay verecek. Daha önce, bir güvenlik açığının teknik dokümantasyonu, yama yayınlanıp yayınlanmadığına bakılmaksızın 90 günlük süre sona erdiğinde gerçekleşiyordu. Yeni modelde, bir OEM'in sorunu 90 günlük süre içinde düzeltmesi halinde, teknik belgeler düzeltmeden 30 gün sonra hazırlanacaktır.

Google, yeni 90+30 politikasının, yamanın benimsenmesini açıklama programının açık bir parçası haline getirmeyi amaçladığını söylüyor. Satıcıların yamayı geliştirmek için 90 günü, düzeltmeyi kullanıcılarına sunmak için ise 30 günü olacak.

""90+30" modeline geçmek, yama yapma süresini yamanın benimsenme süresinden ayırmamıza olanak tanır ve bu konudaki çekişmeli tartışmaları azaltır. Son kullanıcıların savunmasız kaldığı sürenin azaltılmasını savunurken, saldırgan/savunucu değiş tokuşları ve teknik ayrıntıların paylaşılması bilinen saldırılara" dedi Project Zero yöneticisi Tim Willis bir blog yazısında.

Aktif olarak istismar edilen mevcut güvenlik açıklarına hâlâ 7 günlük bir açıklama süresi verilecek. Ancak artık bir soruna 7 gün içinde yama yapılırsa Google, teknik ayrıntıları düzeltmeden 30 gün sonra yayınlayacak. Daha önce Google, sorunun ne zaman çözüldüğüne bakılmaksızın ayrıntıları 7. günde yayınlayacaktı. Üstelik satıcılar artık bu tür güvenlik açıkları için daha önce sunulmayan 3 günlük bir ek süre talep edebilecek.

Project Zero ekibi, bu yeni politikanın, teknik ayrıntıların hızla kamuya açıklanmasına öncelik veren önceki tutumlarına göre hafif bir gerileme olduğunu kabul ediyor. Ancak ekip, yakın gelecekte açıklama süresini kısaltmak isteyecekleri için bu gevşek politikanın çok uzun süre devam etmeyeceğini belirtiyor. Ekip, 2022 için muhtemelen 84+28 modeline geçeceklerini ima etti.