Google Project Zero променя подхода към разкриването на данни за уязвимости

Според мрежови източници тази година екип от изследователи на Google Project Zero, които работят в областта на информационната сигурност, ще промени собствените си правила, според които данните за откритите уязвимости стават публично известни.

В съответствие с новите правила информацията за откритите уязвимости няма да бъде публикувана до изтичането на 90-дневния период. Независимо кога разработчиците решат проблема, представителите на Project Zero няма да разкриват публично информация за него. Новите правила ще бъдат използвани през тази година, след което изследователите ще оценят осъществимостта им да бъдат прилагани текущо.

В миналото изследователите на Project Zero дадоха на разработчиците на софтуер 90 дни да коригират откритите уязвимости. Ако корекция, коригираща грешки, беше пусната преди този краен срок, тогава информацията за уязвимостта стана публично достъпна. Изследователите смятат, че това е неправилно, тъй като в много случаи потребителите трябва да бързат да инсталират актуализации, за да не станат жертва на нападатели. Разработчикът може да коригира уязвимостта, но това няма значение, ако корекцията не е широко разпространена.   

Така че сега, независимо дали корекцията е пусната 20 или 90 дни след като Project Zero докладва за проблема на разработчика, уязвимостта няма да бъде публикувана до 90 дни по-късно. Има някои изключения от правилата. Например, ако изследователите и разработчиците постигнат споразумение, времето за отстраняване на проблема може да бъде удължено с 14 дни. Това е възможно, ако разработчиците на софтуер се нуждаят от повече време, за да създадат корекция. Седемдневният срок за коригиране на уязвимостите, които вече се използват от нападателите, ще остане непроменен.

Изследователите от Project Zero отбелязват, че от началото на тяхната дейност е извършена по-добра работа за премахване на откритите уязвимости. Например през 2014 г., когато проектът току-що беше основан, уязвимостите понякога не бяха коригирани дори шест месеца след откриването им. В момента 97,7% от откритите уязвимости се разрешават от разработчиците в рамките на 90-дневен период.

Източник: 3dnews.ru