Project Zero – це команда Google, якій поставлено завдання знайти вразливі місця та повідомити про них виробникам. Не обходиться без суперечок через час від часу публікувати деталі вразливостей перед виправленням. З цією метою Project Zero додасть деякий час до періоду розкриття інформації.
Згідно зі старими правилами, постачальники програмного забезпечення мали 90 днів, щоб випустити виправлення після того, як Google повідомила постачальнику про вразливість. Незалежно від того, чи ні, це виявить уразливість нульового дня громадськості, часто з достатньою кількістю деталей, щоб поганий актор міг використати цю інформацію для створення експлойтів. Згодом Google додала додатковий пільговий період, який постачальники програмного забезпечення можуть запросити, якщо виправлення наближається до завершення.
Недоброзичливці стверджують, що жорсткий термін ставить під загрозу громадськість, якщо компанія активно працює над вирішенням, але проблема досить складна, її не можна вирішити за 90 днів. Інші зазначають, що деякі компанії можуть бути не схильні створювати виправлення взагалі без жорсткого вікна. Тиск громадськості допомагає переконати постачальника програмного забезпечення діяти там, де він не міг би інакше.
Найскладніше знайти золоту середину, і Google запевняє, що внесе зміни, щоб вирішувати занепокоєння ширшої спільноти безпеки. У 2021 році він чекатиме додаткових 30 днів, щоб розкрити деталі уразливості, якщо постачальник випустить виправлення до закінчення вікна 90. Ідея полягає в тому, щоб дати користувачам час на встановлення оновлень і їх захист. Однак, якщо постачальник запитує пільгове вікно, це вплине на 30-денне вікно оновлення.
Це стосується випадку, коли Google не виявив уразливості, якою вже активно зловживають. До того, як це сталося, Google розкрила повну інформацію протягом семи днів після повідомлення. Надалі він розкриє вразливість через сім днів, але зачекає на публікацію технічних деталей ще 30 днів.
Все це стосується лише 2021 року, оскільки наступного року Google планує трохи скоротити всі свої вікна. Починаючи з 2022 року Project Zero перейде на модель «84 + 28» — 84 дні до розкриття та ще 28 днів до повної інформації. Project Zero сподівається, що скорочення вікон сприятиме швидшій розробці виправлення. Також передбачається перехід до днів ділене на сім зменшує ймовірність того, що кінцевий термін припаде на вихідні — коли постачальники програмного забезпечення зазвичай мають вихідні дні.
Джерело: Project Zero