Tarmoq manbalariga ko'ra, joriy yilda axborot xavfsizligi sohasida ishlaydigan Google Project Zero tadqiqotchilari jamoasi o'z qoidalarini o'zgartiradi, unga ko'ra aniqlangan zaifliklar haqidagi ma'lumotlar ommaga ma'lum bo'ladi.
Yangi qoidalarga ko'ra, topilgan zaifliklar haqidagi ma'lumotlar 90 kunlik muddat tugamaguncha ommaga oshkor etilmaydi. Ishlab chiquvchilar muammoni qachon hal qilishlaridan qat'i nazar, Project Zero vakillari bu haqdagi ma'lumotlarni oshkor etmaydilar. Yangi qoidalar joriy yil davomida qo'llaniladi, shundan so'ng tadqiqotchilar ularni doimiy ravishda amalga oshirishning maqsadga muvofiqligini baholaydilar.
Ilgari Project Zero tadqiqotchilari dasturiy ta’minot ishlab chiqaruvchilariga aniqlangan zaifliklarni tuzatish uchun 90 kun vaqt berishgan. Agar ushbu muddatdan oldin xatolarni tuzatuvchi yamoq chiqarilgan bo'lsa, zaiflik haqidagi ma'lumotlar ommaga ochiq bo'ladi. Tadqiqotchilar buni noto'g'ri deb hisoblashdi, chunki ko'p hollarda foydalanuvchilar hujumchilar qurboni bo'lmaslik uchun yangilanishlarni o'rnatishga shoshilishlari kerak. Ishlab chiquvchi zaiflikni tuzatishi mumkin, ammo yamoq keng tarqalmagan bo'lsa, bu muhim emas.
Shunday qilib, hozirda, Project Zero muammo haqida ishlab chiquvchiga xabar berganidan keyin 20 yoki 90 kun o'tgach, tuzatish chiqarilishidan qat'i nazar, zaiflik 90 kundan keyin ommaga oshkor bo'lmaydi. Qoidalarga ba'zi istisnolar mavjud. Misol uchun, agar tadqiqotchilar va ishlab chiquvchilar kelishuvga erishsa, muammoni hal qilish muddati 14 kunga uzaytirilishi mumkin. Agar dasturiy ta'minot ishlab chiquvchilari yamoq yaratish uchun ko'proq vaqt kerak bo'lsa, bu mumkin. Hujumchilar tomonidan allaqachon foydalanilayotgan zaifliklarni tuzatish uchun yetti kunlik muddat o'zgarishsiz qoladi.
Project Zero tadqiqotchilari o‘z faoliyati boshlanganidan beri aniqlangan zaifliklarni bartaraf etish bo‘yicha yaxshiroq ishlar olib borilganini ta’kidlamoqda. Misol uchun, 2014 yilda, loyiha endigina asos solinganida, zaifliklar ba'zan ular aniqlanganidan olti oy o'tgach ham tuzatilgan emas. Hozirda aniqlangan zaifliklarning 97,7 foizi ishlab chiquvchilar tomonidan 90 kunlik muddat ichida hal qilinadi.
Manba: 3dnews.ru