Project Zero от Google будет использовать 90-дневный срок перед раскрытием уязвимостей

Abner Li | Вторник, 7 января, 2020, 02:51.
Android security patch Google Vulnerability Reward Program

Project Zero широко известен обнаружением серьезных уязвимостей, но подвергается критике со стороны коллег по отрасли за относительно быстрые сроки раскрытия информации. В 2020 году команда по безопасности тестирует новую политику, согласно которой перед раскрытием проблем будет предоставляться полный 90-дневный срок.

Google «доволен тем, насколько хорошо [его] политика раскрытия информации работала в течение последних пяти лет», отмечая, что 97,7% отчетов об уязвимостях исправляются в рамках действующей 90-дневной политики раскрытия. Для сравнения, исправление некоторых проблем в 2014 году занимало шесть месяцев и более.

После рассмотрения «сложной и часто противоречивой» темы политики раскрытия информации, в 2020 году произойдут изменения. Компаниям, подверженным риску, будет предоставляться «полные 90 дней по умолчанию, независимо от того, когда ошибка будет исправлена». Если между поставщиком и Project Zero будет достигнуто соглашение, отчеты об ошибках могут быть опубликованы раньше.

Реклама — прокрутите дальше, чтобы узнать больше

  • Исправили ошибку за 20 дней? Мы опубликуем все детали на 90-й день.
  • Исправили ошибку за 90 дней? Мы опубликуем все детали на 90-й день.

Вместо того чтобы просто стремиться к «более быстрой разработке исправлений», Project Zero теперь хочет поощрять тщательную разработку исправлений и улучшение их внедрения в течение этих 90 дней.

  1. Более быстрая разработка исправлений (существующее): Мы хотим, чтобы поставщики быстро разрабатывали исправления и имели процессы для доставки их конечным пользователям. Мы продолжим добиваться этого с неотложностью.
  2. Тщательная разработка исправлений (новое): Слишком часто мы видели, как поставщики исправляли сообщенные уязвимости, «замазывая трещины», не учитывая варианты или не устраняя первопричину уязвимости. Одна из проблем здесь заключается в том, что наша цель политики «более быстрая разработка исправлений» может усугубить эту проблему, позволяя злоумышленникам слишком легко возрождать свои эксплойты и продолжать атаковать пользователей без особых проблем.
  3. Улучшенное внедрение исправлений (новое): Безопасность конечных пользователей не улучшается, когда найдена ошибка, и не улучшается, когда ошибка исправлена. Она улучшается, когда конечный пользователь осведомлен об ошибке и обычно исправляет свое устройство. Для этого важно улучшить своевременное внедрение исправлений, чтобы гарантировать, что пользователи фактически получают выгоду от исправления ошибки.

Эта новая политика будет тестироваться в течение 12 месяцев, прежде чем Google решит, «изменить ли ее на долгосрочной основе».