Google Project Zero меняет подход к раскрытию данных об уязвимостях
Опубликовал: FIELD LINE, 8-01-2020, 19:06, Жизнь / В мире, 373, 0
По сообщениям сетевых источников, в этом году команда исследователей Google Project Zero, которые работают в сфере информационной безопасности, изменит собственные правила, в соответствии с которыми данные об обнаруженных уязвимостях становятся общеизвестными.
В соответствии с новыми правилами, информация о найденных уязвимостях не будет обнародована до истечения 90-дневного срока. Независимо от того, когда разработчики решат проблему, представители Project Zero не станут раскрывать информацию о ней публично. Новые правила будут использоваться в течение этого года, после чего исследователи оценят целесообразность их внедрения на постоянной основе.
В прошлом исследователи из Project Zero давали разработчикам ПО 90 дней на устранение обнаруженных уязвимостей. Если же патч, исправляющий ошибки, выпускался раньше этого срока, то информация об уязвимости становилась общедоступной. Исследователи посчитали, что это неправильно, поскольку во многих случаях пользователям приходится спешить с установкой обновлений, чтобы не стать жертвой злоумышленников. Разработчик может устранить уязвимость, но это не имеет значения, если патч не успел получить широкого распространения.
Поэтому теперь, независимо от того, будет ли исправление выпущено через 20 или 90 дней после того, как Project Zero сообщит разработчику о проблеме, информация об уязвимости будет обнародована только через 90 дней. В правилах есть некоторые исключения. К примеру, если исследователи и разработчики придут к соглашению, время на устранение проблемы может быть продлено на 14 дней. Это возможно, если разработчикам ПО требуется больше времени на создание патча. Семидневный срок для устранения уязвимостей, которые уже используются злоумышленниками, останется неизменным.
Исследователи из Project Zero отмечают, что с момента начала их деятельности стала проводиться более качественная работа по устранению обнаруженных уязвимостей. Например, в 2014 году, когда проект только был образован, уязвимости иногда не устранялись даже через шесть месяцев после их обнаружения. В настоящее время 97,7 % обнаруженных уязвимостей устраняются разработчиками в течение 90-дневного периода.
В соответствии с новыми правилами, информация о найденных уязвимостях не будет обнародована до истечения 90-дневного срока. Независимо от того, когда разработчики решат проблему, представители Project Zero не станут раскрывать информацию о ней публично. Новые правила будут использоваться в течение этого года, после чего исследователи оценят целесообразность их внедрения на постоянной основе.
В прошлом исследователи из Project Zero давали разработчикам ПО 90 дней на устранение обнаруженных уязвимостей. Если же патч, исправляющий ошибки, выпускался раньше этого срока, то информация об уязвимости становилась общедоступной. Исследователи посчитали, что это неправильно, поскольку во многих случаях пользователям приходится спешить с установкой обновлений, чтобы не стать жертвой злоумышленников. Разработчик может устранить уязвимость, но это не имеет значения, если патч не успел получить широкого распространения.
Поэтому теперь, независимо от того, будет ли исправление выпущено через 20 или 90 дней после того, как Project Zero сообщит разработчику о проблеме, информация об уязвимости будет обнародована только через 90 дней. В правилах есть некоторые исключения. К примеру, если исследователи и разработчики придут к соглашению, время на устранение проблемы может быть продлено на 14 дней. Это возможно, если разработчикам ПО требуется больше времени на создание патча. Семидневный срок для устранения уязвимостей, которые уже используются злоумышленниками, останется неизменным.
Исследователи из Project Zero отмечают, что с момента начала их деятельности стала проводиться более качественная работа по устранению обнаруженных уязвимостей. Например, в 2014 году, когда проект только был образован, уязвимости иногда не устранялись даже через шесть месяцев после их обнаружения. В настоящее время 97,7 % обнаруженных уязвимостей устраняются разработчиками в течение 90-дневного периода.