Secondo fonti di rete, quest'anno un team di ricercatori di Google Project Zero che lavora nel campo della sicurezza informatica cambierà le proprie regole, secondo le quali i dati sulle vulnerabilità scoperte diventano di pubblico dominio.
Secondo le nuove regole, le informazioni relative alle vulnerabilità riscontrate non saranno rese pubbliche fino alla scadenza del periodo di 90 giorni. Indipendentemente da quando gli sviluppatori risolveranno il problema, i rappresentanti di Project Zero non divulgheranno pubblicamente le informazioni al riguardo. Le nuove regole verranno utilizzate nel corso di quest'anno, dopodiché i ricercatori valuteranno la fattibilità della loro attuazione su base continuativa.
In passato, i ricercatori di Project Zero concedevano agli sviluppatori di software 90 giorni per correggere le vulnerabilità scoperte. Se una patch di correzione degli errori veniva rilasciata prima di tale scadenza, le informazioni sulla vulnerabilità diventavano pubbliche. I ricercatori hanno ritenuto che ciò non fosse corretto perché in molti casi gli utenti devono affrettarsi a installare gli aggiornamenti per evitare di diventare vittime di attacchi. Lo sviluppatore può correggere la vulnerabilità, ma ciò non ha importanza se la patch non è ampiamente distribuita.
Quindi ora, indipendentemente dal fatto che la correzione venga rilasciata 20 o 90 giorni dopo che Project Zero ha segnalato il problema allo sviluppatore, la vulnerabilità non verrà resa pubblica fino a 90 giorni dopo. Ci sono alcune eccezioni alle regole. Ad esempio, se i ricercatori e gli sviluppatori raggiungessero un accordo, il tempo per risolvere il problema potrebbe essere prolungato di 14 giorni. Ciò è possibile se gli sviluppatori di software necessitano di più tempo per creare una patch. Il termine di sette giorni per correggere le vulnerabilità già sfruttate dagli aggressori rimarrà invariato.
I ricercatori di Project Zero notano che dall'inizio delle loro attività è stato svolto un lavoro migliore per eliminare le vulnerabilità scoperte. Ad esempio, nel 2014, quando il progetto era appena stato fondato, a volte le vulnerabilità non venivano risolte nemmeno sei mesi dopo la scoperta. Attualmente, il 97,7% delle vulnerabilità rilevate vengono risolte dagli sviluppatori entro un periodo di 90 giorni.
Fonte: 3dnews.ru