Google poczeka trochę dłużej, zanim opublikuje szczegóły dotyczące luki dnia zerowego
Project Zero to zespół z Google, którego zadaniem jest znajdowanie luk w zabezpieczeniach i zgłaszanie ich producentom. Nie jest pozbawione kontrowersji ze względu na sporadyczne publikowanie szczegółów luk w zabezpieczeniach przed wprowadzeniem łatki. W tym celu Project Zero przedłuży okres ujawniania informacji o trochę czasu .
Zgodnie ze starymi zasadami dostawcy oprogramowania mieli 90 dni na wydanie poprawki od momentu ujawnienia dostawcy przez Google luki w zabezpieczeniach. Niezależnie od tego, czy tak się stało, ujawniłoby opinii publicznej lukę dnia zerowego, często z wystarczającą ilością szczegółów, aby zły aktor mógł wykorzystać te informacje do stworzenia exploitów. Ostatecznie firma Google dodała opcjonalny okres prolongaty oprogramowania, który dostawcy oprogramowania mogli zażądać, jeśli poprawka była bliska ukończenia.
Krytycy twierdzą, że sztywny termin naraża opinię publiczną, jeśli firma aktywnie pracuje nad rozwiązaniem, ale problem jest na tyle skomplikowany, że nie można go rozwiązać w ciągu 90 dni. Inni zwracają uwagę, że niektóre firmy mogą być niechętne do tworzenia łatki w ogóle bez twardego okna. Presja społeczna pomaga przekonać dostawcę oprogramowania do działania tam, gdzie nie może być inaczej.
Znalezienie tego kompromisu jest trudną częścią, a Google twierdzi, że wprowadzi poprawki, aby rozwiązać problemy szerszej społeczności zajmującej się bezpieczeństwem. W 2021 r. poczeka dodatkowe 30 dni na ujawnienie szczegółów luki, jeśli sprzedawca wyda łatę przed końcem okna 90. Chodzi o to, aby dać użytkownikom czas na zainstalowanie aktualizacji i ich ochronę. Jeśli jednak dostawca poprosi o okres prolongaty, zostanie to zjedzone przez 30-dniowe okno aktualizacji.
Dotyczy to przypadku, w którym Google nie wykrył luki, która jest już aktywnie wykorzystywana. Zanim to się stało, Google ujawniło pełne szczegóły w ciągu siedmiu dni od powiadomienia. W przyszłości ujawni lukę w zabezpieczeniach po siedmiu dniach, ale z publikacją szczegółów technicznych poczekaj dodatkowe 30 dni.
Wszystko to dotyczy tylko 2021 roku, bo w przyszłym roku Google planuje nieco skrócić wszystkie swoje okna. Począwszy od 2022 r. Project Zero przejdzie na model „84 + 28" — 84 dni do ujawnienia plus kolejne 28 dni na pełne szczegóły. Project Zero ma nadzieję, że skrócenie okien zachęci do szybszego opracowywania poprawek. Sugeruje również, że przejście do dni podzielna przez siedem zmniejsza prawdopodobieństwo, że termin przypada w weekend — kiedy dostawcy oprogramowania mają zwykle dni wolne.
Źródło: Projekt Zero