Project Zero випробовує нову модель для виявлення вразливостей, що дасть більше часу OEM-виробникам для розгортання виправлень для постраждалих користувачів.
Команда Google Project Zero оголошує про деякі значні зміни в тому, як вона розкриває громадськості вразливі місця безпеки. З моменту запуску Project Zero дотримувався суворого 90-денного терміну розкриття інформації. Це означає, що коли вразливість знайдено, Project Zero зробить це зачекайте 90 днів перед публічним документуванням технічні деталі. Це дозволяє постачальникам виправити недолік у своєму програмному забезпеченні до того, як зловмисники зможуть ним скористатися.
Project Zero зараз випробування нової моделі на 2021 рік, що надасть виробникам оригінального обладнання додатковий місяць для розгортання виправлень для постраждалих користувачів. Раніше технічне документування уразливості відбувалося відразу після закінчення 90-денного терміну — незалежно від того, було випущено патч чи ні. У новій моделі, якщо OEM вирішує проблему протягом 90 днів, технічна документація буде видана через 30 днів після виправлення.
Google стверджує, що нова політика 90+30 має на меті зробити прийняття виправлень явною частиною програми розкриття інформації. Постачальники матимуть 90 днів на розробку виправлення та 30 днів на розгортання виправлення для своїх користувачів.
"Перехід до моделі «90+30» дозволяє нам відокремити час для виправлення від часу прийняття виправлення, зменшити дискусію навколо компроміс між зловмисниками та захисниками та обмін технічними деталями, водночас пропагуючи скорочення часу, протягом якого кінцеві користувачі залишаються вразливими до відомих атак,", - сказав менеджер Project Zero Тім Вілліс у дописі в блозі.
Вразливості в дикій природі, які активно використовуються, все одно матимуть 7-денний термін розкриття. Але тепер, якщо проблему буде виправлено протягом 7 днів, Google опублікує технічні деталі через 30 днів після виправлення. Раніше Google публікував деталі на 7-й день незалежно від того, коли проблему було усунено. Крім того, постачальники тепер також можуть запитувати 3-денний пільговий період для уразливостей такого характеру, який раніше не пропонувався.
Команда Project Zero визнає, що ця нова політика є невеликим відступом від їхньої попередньої позиції, яка вважала пріоритетом швидке оприлюднення технічних деталей для громадськості. Однак команда зазначає, що ця пом’якшена політика не триватиме надто довго, оскільки найближчим часом вони намагатимуться скоротити термін розкриття інформації. Команда натякнула, що у 2022 році вони, ймовірно, перейдуть на модель 84+28.