Hálózati források szerint idén az információbiztonság területén dolgozó Google Project Zero kutatócsoport módosítja saját szabályait, amelyek szerint a feltárt sebezhetőségekről szóló adatok nyilvánosakká válnak.
Az új szabályok értelmében a talált sebezhetőségekről szóló információkat a 90 napos határidő lejártáig nem hozzák nyilvánosságra. Függetlenül attól, hogy a fejlesztők mikor oldják meg a problémát, a Project Zero képviselői nem hozzák nyilvánosságra az ezzel kapcsolatos információkat. Az új szabályokat az idei év folyamán alkalmazzák, majd a kutatók folyamatosan értékelik a végrehajtásuk megvalósíthatóságát.
Korábban a Project Zero kutatói 90 napot adtak a szoftverfejlesztőknek a felfedezett sebezhetőségek kijavítására. Ha a hibákat javító javítást e határidő előtt adtak ki, akkor a sérülékenységre vonatkozó információk nyilvánosan elérhetővé váltak. A kutatók úgy vélték, hogy ez helytelen, mert sok esetben a felhasználóknak sietniük kell a frissítések telepítésével, nehogy támadók áldozatává váljanak. A fejlesztő javíthatja a biztonsági rést, de ez nem számít, ha a javítás nem terjedt el széles körben.
Így most, függetlenül attól, hogy a javítást 20 vagy 90 nappal azután adják ki, hogy a Project Zero bejelentette a problémát a fejlesztőnek, a sérülékenységet csak 90 nappal később teszik közzé. A szabályok alól van néhány kivétel. Például, ha a kutatók és a fejlesztők megegyeznek, a probléma elhárításának ideje 14 nappal meghosszabbítható. Ez akkor lehetséges, ha a szoftverfejlesztőknek több időre van szükségük a javítás létrehozásához. A támadók által máris kihasznált biztonsági rések kijavításának hét napos határideje változatlan marad.
A Project Zero kutatói megjegyzik, hogy tevékenységük kezdete óta jobb munkát végeznek a felfedezett sebezhetőségek kiküszöbölésére. Például 2014-ben, amikor a projektet éppen megalapították, előfordult, hogy a sérülékenységeket még hat hónappal a felfedezésük után sem javították ki. Jelenleg az észlelt sebezhetőségek 97,7%-át a fejlesztők 90 napon belül feloldják.
Forrás: 3dnews.ru