Rannsakendateymi upplýsingaöryggis hjá Google, Project Zero, mun breyta eigin reglum um uppljóstrun öryggisgalla á þessu ári, samkvæmt heimildum á netinu.
Samkvæmt nýju reglunum verða upplýsingar um uppgötvuð veikleika ekki gerðar opinberar fyrr en 90 daga fresturinn er liðinn. Óháð því hvenær forritararnir leysa vandamálið munu fulltrúar Project Zero ekki birta upplýsingar um það opinberlega. Nýju reglurnar munu taka gildi á þessu ári og eftir það munu vísindamenn meta hvort það sé mögulegt að innleiða þær til frambúðar.
Áður fyrr gáfu vísindamenn hjá Project Zero hugbúnaðarframleiðendum 90 daga til að laga uppgötvuð veikleika. Ef uppfærsla sem lagaði villurnar yrði gefin út fyrir þann tíma yrðu upplýsingar um veikleikann aðgengilegar almenningi. Rannsakendurnir töldu þetta óviðeigandi, þar sem í mörgum tilfellum þurftu notendur að flýta sér að setja upp uppfærslur til að forðast að verða fórnarlömb árásarmanna. Forritari gæti lagað veikleikann, en það skipti ekki máli ef uppfærslan hafði ekki verið dreift víða.
Þess vegna, óháð því hvort lagfæring er gefin út 20 eða 90 dögum eftir að Project Zero tilkynnir forritaranum um vandamálið, verða upplýsingar um veikleikana ekki gerðar opinberar fyrr en eftir 90 daga. Það eru nokkrar undantekningar frá reglunum. Til dæmis, ef vísindamenn og forritarar ná samkomulagi, má framlengja tímann til að laga vandamálið um 14 daga. Þetta er mögulegt ef hugbúnaðarframleiðendur þurfa meiri tíma til að búa til lagfæringu. Sjö daga fresturinn til að laga veikleika sem árásarmenn hafa þegar nýtt sér mun haldast óbreyttur.
Rannsakendur Project Zero taka fram að frá upphafi hafi gæði vinnu þeirra við að lagfæra uppgötvuð veikleika batnað. Til dæmis, árið 2014, þegar verkefnið var fyrst sett á lag, voru veikleikar stundum óuppfærðir jafnvel sex mánuðum eftir að þeir uppgötvuðust. Eins og er eru 97,7% uppgötvaðra veikleika lagfærðir af forriturum innan 90 daga.
Heimild: 3dnews.ru
