Project Zero от Google дает техническим фирмам больше времени на устранение уязвимостей

17 апреля, 2021 Дядя Влад

Google Project Zero, команда экспертов по безопасности, нанятая поисковым гигантом для поиска уязвимостей программного обеспечения нулевого дня, обновила свои правила раскрытия уязвимостей.

Обновленная политика добавляет дополнительное 30-дневное окно для раскрытия некоторых ошибок безопасности. До этого исследователи Google публиковали подробную информацию об уязвимостях в своем онлайн-трекере ошибок в конце 90-дневного периода или после исправления ошибки.

Дольше патчить

Дополнительный месяц (приблизительно) дает и поставщикам, и пользователям немного больше времени на разработку, распространение и установку необходимых исправлений для своего программного обеспечения, прежде чем подробности об уязвимости будут опубликованы в Интернете. Это хорошая новость, поскольку с момента публикации сведений об уязвимостях в Интернете злоумышленники потенциально могут использовать их в качестве оружия.

Хотя патчи чаще всего выпускаются к моменту публикации сведений об уязвимостях, это по-прежнему зависит от того, что пользователи сами установили исправления. В некоторых случаях это может занять много времени. Поэтому дополнительные 30 дней Google – хорошая новость.

«Цель обновления нашей политики до 2021 года – сделать график принятия исправления явной частью нашей политики раскрытия уязвимостей», – сказал Тим Уиллис из Project Zero Vendors в сообщении в блоге, описывающем это изменение. «У поставщиков теперь будет 90 дней на разработку исправлений и еще 30 дней на принятие исправлений».

Project Zero дополнительно продлевает дополнительный 30-дневный льготный период до уязвимостей нулевого дня , которые активно используются против пользователей в дикой природе. Хотя крайний срок раскрытия информации составляет всего семь дней для исправления, технические подробности будут опубликованы только через 30 дней после исправления – при условии, что проблема будет устранена разработчиками. В противном случае технические подробности будут опубликованы немедленно.

Расширен до уязвимостей нулевого дня, тоже

Эти новые правила будут применяться к 2021 году, хотя в будущем все может снова измениться. Как отмечается в сообщении в блоге: «Мы предпочитаем выбрать отправную точку, которой может придерживаться большинство поставщиков, а затем постепенно сокращать сроки разработки и внедрения исправлений».

Правильное раскрытие такого рода информации – сложная задача, поскольку необходимо найти баланс между интересами пользователей и дать разработчикам достаточно времени для разработки и выпуска исправления. Как четко известно команде Project Zero, эта область будет и дальше изменяться по мере разработки мер кибербезопасности и исправлений.

Однако на данный момент вам будет трудно предположить, что эксперты по безопасности Google поступают неправильно.

Кредит изображения: Митчелл Луо / Unsplash CC