Laŭ retaj fontoj, ĉi-jare teamo de esploristoj de Google Project Zero, kiuj laboras en la kampo de informa sekureco, ŝanĝos siajn proprajn regulojn, laŭ kiuj datumoj pri malkovritaj vundeblecoj iĝas publike konataj.
Konforme al la novaj reguloj, informoj pri la trovitaj vundeblecoj ne estos publikigitaj ĝis la 90-taga periodo eksvalidiĝos. Sendepende de kiam la programistoj solvas la problemon, reprezentantoj de Project Zero ne malkaŝos informojn pri ĝi publike. La novaj reguloj estos uzataj dum ĉi tiu jaro, post kio esploristoj taksos la fareblecon efektivigi ilin daŭrante.
En la pasinteco, la esploristoj de Project Zero donis al programistoj 90 tagojn por ripari malkovritajn vundeblecojn. Se flikaĵo korektanta eraroj estis publikigita antaŭ ĉi tiu dato, tiam informoj pri la vundebleco fariĝis publike haveblaj. La esploristoj sentis, ke ĉi tio estis malĝusta ĉar en multaj kazoj, uzantoj devas rapidi instali ĝisdatigojn por eviti iĝi viktimo de atakantoj. La programisto povas ripari la vundeblecon, sed ĉi tio ne gravas se la flikaĵo ne estas vaste distribuita.
Do nun, sendepende de ĉu la riparo estas liberigita 20 aŭ 90 tagojn post kiam Projekto Nulo raportos la problemon al la programisto, la vundebleco ne estos publikigita ĝis 90 tagoj poste. Estas iuj esceptoj al la reguloj. Ekzemple, se la esploristoj kaj programistoj atingas interkonsenton, la tempo por ripari la problemon povus esti plilongigita je 14 tagoj. Ĉi tio eblas se programistoj bezonas pli da tempo por krei flikaĵon. La septaga limdato por ripari vundeblecojn, kiuj jam estas ekspluatataj de atakantoj, restos senŝanĝa.
Esploristoj de Project Zero rimarkas, ke ekde la komenco de siaj agadoj, pli bona laboro estis farita por forigi la malkovritajn vundeblecojn. Ekzemple, en 2014, kiam la projekto ĵus estis fondita, vundeblecoj foje ne estis fiksitaj eĉ ses monatojn post kiam ili estis malkovritaj. Nuntempe, 97,7% de detektitaj vundeblecoj estas solvitaj de programistoj ene de 90-taga periodo.
fonto: 3dnews.ru
