Ifølge nettverkskilder vil i år et team av Google Project Zero-forskere som jobber innen informasjonssikkerhet endre sine egne regler, i henhold til hvilke data om oppdagede sårbarheter blir offentlig kjent.
I henhold til de nye reglene vil informasjon om sårbarhetene som er funnet ikke offentliggjøres før 90-dagersperioden er utløpt. Uavhengig av når utviklerne løser problemet, vil ikke Project Zero-representanter avsløre informasjon om det offentlig. De nye reglene vil bli tatt i bruk i løpet av dette året, og deretter vil forskerne vurdere muligheten for å implementere dem fortløpende.
Tidligere ga Project Zero-forskere programvareutviklere 90 dager til å fikse oppdagede sårbarheter. Hvis en patch som korrigerer feil ble utgitt før denne fristen, ble informasjon om sårbarheten offentlig tilgjengelig. Forskerne mente at dette var feil fordi brukere i mange tilfeller må skynde seg å installere oppdateringer for å unngå å bli offer for angripere. Utvikleren kan fikse sårbarheten, men dette spiller ingen rolle hvis oppdateringen ikke er vidt distribuert.
Så nå, uavhengig av om rettelsen er utgitt 20 eller 90 dager etter at Project Zero rapporterte problemet til utvikleren, vil ikke sårbarheten bli offentliggjort før 90 dager senere. Det er noen unntak fra reglene. Hvis for eksempel forskerne og utviklerne kommer til enighet, kan tiden for å fikse problemet forlenges med 14 dager. Dette er mulig hvis programvareutviklere trenger mer tid til å lage en oppdatering. Den sju dager lange fristen for å fikse sårbarheter som allerede utnyttes av angripere vil forbli uendret.
Forskere fra Project Zero bemerker at siden starten av deres aktiviteter har det blitt utført bedre arbeid for å eliminere de oppdagede sårbarhetene. For eksempel, i 2014, da prosjektet nettopp ble grunnlagt, ble sårbarheter noen ganger ikke fikset selv seks måneder etter at de ble oppdaget. For øyeblikket løses 97,7 % av oppdagede sårbarheter av utviklere innen en 90-dagers periode.
Kilde: 3dnews.ru