Project Zero är ett team från Google som har till uppgift att hitta sårbarheter och rapportera dem till tillverkare. Det är inte utan kontroverser på grund av att man då och då publicerar information om sårbarheter innan en patch. I det syftet kommer Project Zero att lägga till lite tid till sin upplysningsperiod.
Enligt de gamla reglerna hade programvaruleverantörer 90 dagar på sig att släppa en patch från det att Google avslöjade en sårbarhet för leverantören. Oavsett om det gjorde det eller inte, skulle det avslöja nolldagssårbarheten för allmänheten, ofta med tillräckligt med detaljer för att en dålig skådespelare skulle kunna använda informationen för att skapa utnyttjande. Så småningom lade Google till en valfri respitperiod som programvaruleverantörer kunde begära om en patch var nära att slutföras.
Belackare hävdar att den hårda tidsfristen sätter allmänheten på spel om företaget aktivt arbetar med en lösning, men problemet är tillräckligt komplicerat att det inte kan lösas på 90 dagar. Andra påpekar att vissa företag kan vara ovilliga att skapa en patch överhuvudtaget utan det hårda fönstret. Det offentliga trycket hjälper till att övertyga programvaruleverantören att agera där den inte annars skulle kunna göra det.
Att hitta den mellanvägen är den svåra delen, och Google säger att de kommer att göra justeringar för att ta itu med farhågor från den bredare säkerhetsgemenskapen. År 2021 kommer det att vänta ytterligare 30 dagar för att avslöja detaljer om en sårbarhet om en leverantör släpper en patch innan 90-fönstret tar slut. Tanken är att ge användarna tid att installera uppdateringar och skydda dem. Men om en leverantör begär ett grace-fönster, kommer det att tära på 30-dagars uppdateringsfönstret.
Det gäller ett fall där Google inte har upptäckt en sårbarhet som redan har missbrukats aktivt. Innan det hände, avslöjade Google alla detaljer inom sju dagar efter meddelandet. Framöver kommer den att avslöja sårbarheten efter sju dagar men vänta med att publicera tekniska detaljer i ytterligare 30 dagar.
Allt detta gäller bara 2021 för nästa år planerar Google att förkorta alla sina fönster något. Från och med 2022 kommer Project Zero att gå över till en "84 + 28"-modell – 84 dagar till avslöjande, plus ytterligare 28 dagar till fullständiga detaljer. Project Zero hoppas att en förkortning av fönstren kommer att uppmuntra snabbare patchutveckling. Det tyder också på att flytta till dagar delbart med sju minskar chansen att en deadline faller på en helg – när programvaruleverantörer vanligtvis har lediga dagar.
Källa: Project Zero