据网络消息人士透露,今年,一个从事信息安全领域工作的谷歌零号项目研究人员团队将改变自己的规则,根据该规则,有关已发现漏洞的数据将被公开。
根据新规定,所发现的漏洞信息在 90 天期限届满之前不会公开。 无论开发者何时解决问题,零号项目代表都不会公开透露相关信息。 新规则将在今年内使用,之后研究人员将评估持续实施这些规则的可行性。
过去,零号项目研究人员给软件开发人员 90 天的时间来修复发现的漏洞。 如果在此截止日期之前发布了纠正错误的补丁,则有关该漏洞的信息将公开。 研究人员认为这是不正确的,因为在许多情况下,用户必须急于安装更新以避免成为攻击者的受害者。 开发人员可以修复该漏洞,但如果补丁没有广泛分发,这并不重要。
所以现在,无论零号项目向开发者报告问题后20天还是90天发布修复程序,该漏洞都要在90天后才会被公开。 规则也有一些例外。 例如,如果研究人员和开发人员达成协议,解决问题的时间可以延长14天。 如果软件开发人员需要更多时间来创建补丁,这是可能的。 修复已被攻击者利用的漏洞的 XNUMX 天期限将保持不变。
零号项目的研究人员指出,自从他们的活动开始以来,已经开展了更好的工作来消除已发现的漏洞。 例如,2014年,项目刚刚成立时,有时漏洞被发现六个月后仍未修复。 目前,97,7% 的检测到的漏洞已被开发人员在 90 天内解决。
来源: 3dnews.ru