به گفته منابع شبکه، امسال تیمی از محققان Google Project Zero که در زمینه امنیت اطلاعات کار میکنند، قوانین خود را تغییر خواهند داد که براساس آن دادههای مربوط به آسیبپذیریهای کشفشده به صورت عمومی شناخته میشوند.
مطابق با قوانین جدید، اطلاعات مربوط به آسیب پذیری های یافت شده تا زمانی که دوره 90 روزه منقضی نشده باشد، عمومی نخواهد شد. صرف نظر از زمانی که توسعه دهندگان مشکل را حل کنند، نمایندگان Project Zero اطلاعات مربوط به آن را به صورت عمومی افشا نمی کنند. قوانین جدید در طول سال جاری مورد استفاده قرار خواهد گرفت و پس از آن محققین امکان سنجی اجرای آنها را به صورت مستمر ارزیابی خواهند کرد.
در گذشته، محققان Project Zero به توسعه دهندگان نرم افزار 90 روز فرصت دادند تا آسیب پذیری های کشف شده را برطرف کنند. اگر خطاهای تصحیح وصله قبل از این تاریخ منتشر شده باشد، اطلاعات مربوط به این آسیبپذیری در دسترس عموم قرار میگیرد. محققان احساس کردند که این نادرست است زیرا در بسیاری از موارد، کاربران باید برای نصب بهروزرسانیها عجله کنند تا قربانی مهاجمان نشوند. توسعهدهنده میتواند آسیبپذیری را برطرف کند، اما اگر پچ به طور گسترده توزیع نشده باشد، مهم نیست.
بنابراین در حال حاضر، صرف نظر از اینکه رفع مشکل 20 یا 90 روز پس از گزارش Project Zero به توسعهدهنده منتشر میشود، این آسیبپذیری تا 90 روز بعد عمومی نخواهد شد. برخی از استثنائات قوانین وجود دارد. به عنوان مثال، اگر محققان و توسعه دهندگان به توافق برسند، زمان رفع مشکل می تواند 14 روز تمدید شود. این در صورتی امکان پذیر است که توسعه دهندگان نرم افزار به زمان بیشتری برای ایجاد یک پچ نیاز داشته باشند. مهلت هفت روزه برای رفع آسیب پذیری هایی که در حال حاضر توسط مهاجمان مورد سوء استفاده قرار گرفته اند، بدون تغییر باقی می ماند.
محققان پروژه صفر خاطرنشان می کنند که از زمان شروع فعالیت آنها، کار بهتری برای رفع آسیب پذیری های کشف شده انجام شده است. به عنوان مثال، در سال 2014، زمانی که پروژه به تازگی تأسیس شده بود، گاهی اوقات آسیب پذیری ها حتی شش ماه پس از کشف آنها برطرف نمی شد. در حال حاضر، 97,7 درصد از آسیب پذیری های شناسایی شده توسط توسعه دهندگان در یک دوره 90 روزه رفع می شوند.
منبع: 3dnews.ru