За повідомленнями мережевих джерел, цього року команда дослідників Google Project Zero, які працюють у сфері інформаційної безпеки, змінить власні правила, відповідно до яких дані про виявлені вразливості стають загальновідомими.
Відповідно до нових правил, інформація про знайдені вразливості не буде оприлюднена до закінчення 90-денного терміну. Незалежно від того, коли розробники вирішать проблему, представники Project Zero не розкриватимуть інформацію про неї публічно. Нові правила будуть використовуватися протягом цього року, після чого дослідники оцінять доцільність їхнього впровадження на постійній основі.
У минулому дослідники з Project Zero давали розробникам ПО 90 днів усунення виявлених уразливостей. Якщо ж патч, що виправляє помилки, випускався раніше за цей термін, то інформація про вразливість ставала загальнодоступною. Дослідники вважали, що це неправильно, оскільки в багатьох випадках користувачам доводиться поспішати із встановленням оновлень, щоб не стати жертвою зловмисників. Розробник може усунути вразливість, але це не має значення, якщо патч не встиг набути широкого поширення.
Тому тепер, незалежно від того, чи виправлення буде випущено через 20 або 90 днів після того, як Project Zero повідомить розробнику про проблему, інформацію про вразливість буде оприлюднено лише через 90 днів. У правилах є деякі винятки. Наприклад, якщо дослідники і розробники дійдуть згоди, час усунення проблеми може бути продовжено на 14 днів. Це можливо, якщо розробникам ПЗ потрібно більше часу на створення патчу. Семиденний термін для усунення вразливостей, які вже використовуються зловмисниками, залишиться незмінним.
Дослідники з Project Zero зазначають, що з початку їх діяльності стала проводитися якісніша робота з усунення виявлених уразливостей. Наприклад, у 2014 році, коли проект тільки був утворений, уразливості іноді не усувалися навіть через шість місяців після їх виявлення. В даний час 97,7% виявлених уразливостей усуваються розробниками протягом 90-денного періоду.
Джерело: 3dnews.ru