Võrguallikate andmeil muudab sel aastal infoturbe vallas tegutsev Google Project Zero teadlaste meeskond oma reegleid, mille kohaselt saavad andmed avastatud haavatavuste kohta avalikult teatavaks.
Vastavalt uutele reeglitele ei avalikustata leitud turvaaukude kohta infot enne, kui 90-päevane periood on möödas. Sõltumata sellest, millal arendajad probleemi lahendavad, Project Zero esindajad selle kohta teavet avalikult ei avalda. Uued reeglid võetakse kasutusele selle aasta jooksul, seejärel hindavad teadlased nende rakendamise otstarbekust jooksvalt.
Varem andsid Project Zero teadlased tarkvaraarendajatele 90 päeva aega avastatud haavatavuste parandamiseks. Kui vigasid parandav plaaster avaldati enne seda tähtaega, muutus teave haavatavuse kohta avalikult kättesaadavaks. Teadlased leidsid, et see on vale, sest paljudel juhtudel peavad kasutajad kiirustama värskendusi installima, et vältida ründajate ohvriks langemist. Arendaja saab haavatavuse parandada, kuid see ei oma tähtsust, kui plaastrit laialt ei levitata.
Seega, olenemata sellest, kas parandus avaldatakse 20 või 90 päeva pärast seda, kui Project Zero on probleemist arendajale teatanud, tehakse haavatavus avalikuks alles 90 päeva pärast. Reeglitest on mõned erandid. Näiteks kui teadlased ja arendajad jõuavad kokkuleppele, võib probleemi lahendamise aeg pikeneda 14 päeva võrra. See on võimalik, kui tarkvaraarendajad vajavad paiga loomiseks rohkem aega. Ründajate poolt juba ärakasutatud turvaaukude parandamise seitsmepäevane tähtaeg jääb muutumatuks.
Projekti Zero teadlased märgivad, et nende tegevuse algusest peale on avastatud haavatavuste kõrvaldamiseks tehtud paremat tööd. Näiteks 2014. aastal, kui projekt alles asutati, ei parandatud haavatavusi mõnikord isegi kuus kuud pärast nende avastamist. Praegu lahendavad arendajad 97,7-päevase perioodi jooksul 90% avastatud haavatavustest.
Allikas: 3dnews.ru