Segons fonts de la xarxa, aquest any un equip d'investigadors de Google Project Zero que treballen en l'àmbit de la seguretat de la informació canviarà les seves pròpies regles, segons les quals les dades sobre les vulnerabilitats descobertes es coneguin públicament.
D'acord amb les noves normes, la informació sobre les vulnerabilitats trobades no es farà pública fins que no hagi transcorregut el termini de 90 dies. Independentment de quan els desenvolupadors resolguin el problema, els representants del Projecte Zero no divulgaran informació públicament al respecte. Les noves normes s'utilitzaran al llarg d'aquest any, després del qual els investigadors avaluaran la viabilitat d'implementar-les de manera continuada.
En el passat, els investigadors del Project Zero donaven als desenvolupadors de programari 90 dies per solucionar les vulnerabilitats descobertes. Si es publicava un pedaç per corregir errors abans d'aquest termini, la informació sobre la vulnerabilitat estava disponible públicament. Els investigadors van considerar que això era incorrecte perquè, en molts casos, els usuaris s'han de precipitar a instal·lar actualitzacions per evitar ser víctima d'atacants. El desenvolupador pot solucionar la vulnerabilitat, però això no importa si el pedaç no es distribueix àmpliament.
Així que ara, independentment de si la solució es publica 20 o 90 dies després que Project Zero informi el problema al desenvolupador, la informació sobre la vulnerabilitat no es farà pública fins 90 dies després. Hi ha algunes excepcions a les regles. Per exemple, si els investigadors i desenvolupadors arriben a un acord, el temps per solucionar el problema es podria allargar 14 dies. Això és possible si els desenvolupadors de programari necessiten més temps per crear un pedaç. El termini de set dies per solucionar les vulnerabilitats que ja estan sent explotades pels atacants es mantindrà sense canvis.
Els investigadors del Projecte Zero assenyalen que des de l'inici de les seves activitats s'ha treballat millor per eliminar les vulnerabilitats descobertes. Per exemple, el 2014, quan tot just es va fundar el projecte, les vulnerabilitats de vegades no es van solucionar ni tan sols sis mesos després de ser descobertes. Actualment, el 97,7% de les vulnerabilitats detectades són resoltes pels desenvolupadors en un període de 90 dies.
Font: 3dnews.ru