Тепер команда безпеки Google Project Zero чекатиме 90 днів, щоб розкрити будь-які виявлені вразливості

Тепер команда безпеки Google Project Zero чекатиме повних 90 днів, перш ніж оприлюднити виявлені ними вразливості.

Project Zero – це підрозділ безпеки, який працює в компанії Google заснована в 2014 році. Основна місія команди полягає у виявленні вразливостей нульового дня, тобто вразливостей, які невідомі (або не розглядаються) стороною, яка повинна бути зацікавлена ​​в їх пом’якшенні. «Heartbleed» є один такий експлойт нульового дня, про який приватно повідомили OpenSSL дві окремі групи безпеки. Одна з цих команд безпеки працювала під керівництвом Google і зрештою призвела до створення Project Zero. Помилка була виявлена ​​в квітні 2014 року, збірка OpenSSL з виправленою помилкою була випущена через кілька днів разом із повним розкриттям помилки. Це повне розкриття означало, що системи, які не оновлювалися негайно, були під загрозою, хоча це, як правило, служить мотивацією для команд розробників оновлювати своє програмне забезпечення.

Відтоді Google Project Zero працює подібним чином. Коли виявляється помилка нульового дня, команда приватно повідомляє про це будь-якій компанії, яка володіє програмним забезпеченням. З дати розкриття у компанії є 90 днів, щоб виправити помилку. Якщо вони виправлять її до завершення 90-денного вікна, Google оприлюднить деталі вразливості. Якщо протягом 90 днів її не буде виправлено, команда все одно звільнить уразливість, що має на меті зробити користувачі знають про проблеми, які може мати програмне забезпечення, яке вони використовують, а також потенційно мотивують компанію працювати швидше. Існує один недолік, який постачальники бачать у цій системі, і, як і у випадку з Heartbleed, це те, що користувачі (або розробники) можуть не мати змоги достатньо швидко оновити свої системи, перш ніж стати жертвою експлуатації. З цієї причини команда Project Zero оголосила, що протягом року вони пробно чекають 90 днів незалежно від того, наскільки швидко (чи повільно) уразливість буде усунена.

Це не впливає на політику Google щодо розкриття помилок протягом 7 днів, якщо вони виявлять докази того, що помилка використовується в дикій природі. У тому ж дописі в блозі команда Project Zero також оголосила про ряд інших невеликих змін. Google також з гордістю повідомляє, що 97,7% усіх виявлених проблем усувається протягом 90 днів. Ви можете прочитати повну публікацію в блозі нижче.


Джерело: Google Project Zero