Tinklo šaltinių teigimu, šiais metais „Google Project Zero“ tyrėjų, dirbančių informacijos saugumo srityje, komanda pakeis savo taisykles, pagal kurias viešai tampa žinomi duomenys apie aptiktas spragas.
Vadovaujantis naujomis taisyklėmis, informacija apie rastas spragas nebus viešinama, kol nepasibaigs 90 dienų laikotarpis. Nepriklausomai nuo to, kada kūrėjai išspręs problemą, „Project Zero“ atstovai informacijos apie ją viešai neatskleis. Naujosios taisyklės bus naudojamos dar šiais metais, o po to mokslininkai nuolatos vertins jų įgyvendinimo galimybes.
Anksčiau „Project Zero“ tyrėjai programinės įrangos kūrėjams suteikdavo 90 dienų, kad ištaisytų aptiktas spragas. Jei klaidas taisantis pataisas buvo išleistas iki šio termino, informacija apie pažeidžiamumą tapo viešai prieinama. Tyrėjai manė, kad tai neteisinga, nes daugeliu atvejų vartotojai turi skubėti diegti naujinimus, kad netaptų užpuolikų auka. Kūrėjas gali ištaisyti pažeidžiamumą, tačiau tai nesvarbu, jei pataisa nėra plačiai platinama.
Taigi dabar, nepaisant to, ar pataisymas bus išleistas praėjus 20 ar 90 dienų po to, kai „Project Zero“ praneš apie problemą kūrėjui, pažeidžiamumas bus paskelbtas tik po 90 dienų. Yra keletas taisyklių išimčių. Pavyzdžiui, jei mokslininkai ir kūrėjai susitars, problemos sprendimo laikas gali būti pratęstas 14 dienų. Tai įmanoma, jei programinės įrangos kūrėjams reikia daugiau laiko pataisymui sukurti. Septynių dienų terminas pažeidžiamoms vietoms, kuriomis jau naudojasi užpuolikai, pataisyti nesikeis.
„Project Zero“ tyrėjai pastebi, kad nuo pat jų veiklos pradžios buvo atliktas geresnis darbas siekiant pašalinti aptiktas spragas. Pavyzdžiui, 2014 m., kai projektas buvo ką tik įkurtas, pažeidžiamumas kartais nebuvo ištaisytas net praėjus šešiems mėnesiams nuo jų aptikimo. Šiuo metu 97,7 % aptiktų spragų kūrėjai išsprendžia per 90 dienų laikotarpį.
Šaltinis: 3dnews.ru