Volgens online bronnen gaat het Project Zero-team van Google, dat bestaat uit onderzoekers op het gebied van informatiebeveiliging, dit jaar zijn eigen regels wijzigen voor de manier waarop kwetsbaarheden openbaar worden gemaakt.
Volgens de nieuwe regels wordt informatie over ontdekte kwetsbaarheden pas openbaar gemaakt nadat de periode van 90 dagen is verstreken. Ongeacht wanneer de ontwikkelaars het probleem oplossen, zullen vertegenwoordigers van Project Zero hierover geen informatie openbaar maken. De nieuwe regels worden dit jaar in gebruik genomen. Daarna gaan onderzoekers na of het haalbaar is om ze permanent in te voeren.
In het verleden gaven Project Zero-onderzoekers softwareontwikkelaars 90 dagen de tijd om eventuele kwetsbaarheden te verhelpen. Als er vóór deze deadline een patch werd uitgebracht die de bugs verhelpt, werd informatie over de kwetsbaarheid openbaar. De onderzoekers waren van mening dat dit onterecht was, omdat gebruikers in veel gevallen snel updates moesten installeren om te voorkomen dat ze slachtoffer werden van aanvallers. De ontwikkelaar kan het beveiligingslek verhelpen, maar dat maakt niet uit als de patch niet op grote schaal is verspreid.
Vanaf nu wordt informatie over de kwetsbaarheid pas na 20 dagen openbaar gemaakt, ongeacht of er 90 of 90 dagen na de melding van het probleem door Project Zero een oplossing wordt uitgebracht. Er zijn enkele uitzonderingen op de regel. Als onderzoekers en ontwikkelaars bijvoorbeeld overeenstemming bereiken, kan de tijd om het probleem op te lossen met 14 dagen worden verlengd. Dit is mogelijk als de softwareontwikkelaars meer tijd nodig hebben om een patch te creëren. De termijn van zeven dagen voor het verhelpen van kwetsbaarheden die al door aanvallers worden misbruikt, blijft ongewijzigd.
Onderzoekers van Project Zero geven aan dat ze sinds het begin van hun activiteiten meer kwalitatief werk zijn gaan uitvoeren om ontdekte kwetsbaarheden te elimineren. Toen het project in 2014 net van start ging, werden kwetsbaarheden soms zelfs zes maanden na ontdekking nog niet verholpen. Momenteel worden 97,7% van de ontdekte kwetsbaarheden binnen een periode van 90 dagen door ontwikkelaars opgelost.
Bron: 3dnews.ru
