Google'ın Project Zero güvenlik ekibi artık keşfettikleri güvenlik açıklarını açıklamadan önce 90 günün tamamını bekleyecek.
Project Zero, Google tarafından kullanılan bir güvenlik bölümüdür. 2014 yılında kuruldu. Ekibin birincil görevi, sıfır gün güvenlik açıklarını, yani bunların azaltılmasıyla ilgilenmesi gereken tarafın bilmediği (veya değinmediği) güvenlik açıklarını keşfetmektir. "Kalp kanaması" böyle bir sıfır gün istismarı, iki ayrı güvenlik ekibi tarafından özel olarak OpenSSL'e bildirildi. Bu güvenlik ekiplerinden biri Google altında faaliyet gösterdi ve sonunda Project Zero'nun yaratılmasına yol açtı. Hata 2014 yılının Nisan ayında keşfedildi, hatanın düzeltildiği bir OpenSSL yapısı birkaç gün sonra hatanın tam açıklamasıyla birlikte yayınlandı. Bu tam açıklama, hemen güncellenmeyen sistemlerin risk altında olduğu anlamına geliyordu; ancak bu, genellikle geliştirici ekiplerinin yazılımlarını güncellemeleri için bir motivasyon görevi görüyor.
O zamandan beri Google'ın Project Zero'su da benzer şekilde çalıştı. Sıfır gün hatası keşfedildiğinde ekip bunu yazılımın sahibi olan şirkete özel olarak rapor eder. Açıklama tarihinden itibaren şirketin hatayı düzeltmek için 90 günü var. 90 günlük süre dolmadan sorunu giderirlerse Google, güvenlik açığının ayrıntılarını yayınlayacak. 90 gün düzeltilmeden geçerse ekip yine de güvenlik açığını ortadan kaldıracaktır. Kullanıcılar, kullandıkları yazılımın olası sorunlarının farkındadır ve aynı zamanda şirketi çalışmaya motive etme potansiyeline sahiptir. Daha hızlı. Satıcıların bu sistemde algıladığı bir kusur var ve tıpkı Heartbleed'de olduğu gibi, o da kullanıcıların (veya geliştiriciler), bir saldırının kurbanı olmadan önce sistemlerini yeterince hızlı yükseltemeyebilirler. sömürü. Bu nedenle Project Zero ekibi, yıl boyunca güvenlik açığının ne kadar hızlı (ya da yavaş) giderildiğine bakılmaksızın 90 günü beklemeyi denediklerini duyurdu.
Google'ın, hatadan yararlanıldığına dair kanıt bulunması halinde hataları 7 gün içinde açıklama politikası bundan etkilenmez. Aynı blog yazısında Project Zero ekibi bir dizi başka küçük değişikliği de duyurdu. Google ayrıca keşfettiği tüm sorunların %97,7'sinin 90 günlük süre içinde çözüldüğünü duyurmaktan gurur duyar. Blog yazısının tamamını aşağıda okuyabilirsiniz.
Kaynak: Google Projesi Sıfır