Команда Project Zero сегодня объявила об обновлении политики раскрытия информации об уязвимостях на 2021 год. Это следует за изменениями, внесенными в прошлом году, чтобы лучше решать давние проблемы, беспокоящие сообщество специалистов по безопасности.
Короче говоря, в 2021 году команда безопасности Google будет ждать 30 дней, прежде чем делиться техническими подробностями об уязвимости, которая была исправлена в течение 90-дневного или семидневного (для уязвимости нулевого дня) срока. Дополнительное время предназначено для того, чтобы больше пользователей успели установить соответствующее исправление.
Ранее Project Zero публиковал детали через 90 дней после обнаружения проблемы, независимо от того, была ли ошибка исправлена. Между тем, проблемы, которые не были устранены по истечении 90/7 дней, будут опубликованы, как обычно.
В прошлом году команда начала пересматривать политику раскрытия информации с упором на более быстрое и тщательное развертывание исправлений, а также на улучшение их внедрения. Их первая попытка достичь этих целей дала смешанные результаты:
Однако на практике мы не наблюдали значительного сдвига во временных рамках разработки исправлений, и мы продолжали получать отзывы от поставщиков о том, что они обеспокоены публичным раскрытием технических деталей об уязвимостях и эксплойтах до того, как большинство пользователей установили исправление. Другими словами, предполагаемый срок внедрения исправлений не был четко понят.
На 2021 год Project Zero делает «временные рамки внедрения исправлений явной частью [своей] политики раскрытия информации об уязвимостях», предоставляя эти 30 дней. Google считает новую политику «90+30» «небольшим откатом с точки зрения быстрого выпуска технических деталей», но планирует «постепенно сокращать как сроки разработки исправлений, так и сроки их внедрения».
Например, основываясь на наших текущих данных отслеживания времени исправления уязвимостей, вполне вероятно, что мы сможем перейти к модели «84+28» в 2022 году (сроки, равномерно делимые на 7, значительно снижают вероятность того, что наши сроки придутся на выходные). Кроме того, мы будем внимательно следить за данными и продолжать поощрять инновации и инвестиции в сортировку ошибок, разработку исправлений, тестирование и инфраструктуру обновлений.