Какво трябва да знаете
- Google променя политиката си за разкриване на Project Zero за 2020 г.
- Google вече няма да разкрива уязвимости и бъгове преди края на 90-дневния период, което позволява на фирмите време за по-задълбочено коригиране.
- Това е 12-месечен пробен период на политика с период на преоценка в края на годината.
Проектът Zero на Google претърпява малък основен ремонт през 2020 г. — Google ще изпробва нова промяна около своята противоречива политика за разкриване на уязвимости. Промяната вече влезе в сила от Нова година.
Накратко: в бъдеще Google вече ще предлага 90-дневен гратисен период за разкрития, независимо кога грешката е била коригирана. Преди това политиката на Google беше „90 дни или когато грешката бъде коригирана“, което предизвика гнева на някои компании от привидната случайност на разкритията. Сега Google се стреми да бъде малко по-последователен и да избягва дори появата на некоректност.
Тим Уилис от Google обясни екипът мисли, казвайки:
Ние [...] харесваме, че новата политика ще подобри последователността на нашия процес на разкриване на информация, като същевременно ще остане проста и справедлива. Например, някои доставчици смятат нашето определяне кога дадена уязвимост е фиксирана за непредвидимо, особено когато работим с повече от един изследовател в екипа в даден момент. Те видяха това като пречка да работят с нас по по-големи проблеми, така че ние ще премахнем бариерата и ще видим дали нещата ще се подобрят. Надяваме се, че този експеримент ще насърчи доставчиците да бъдат прозрачни с нас, да споделят повече данни, да изграждат доверие и да подобряват сътрудничеството.
Новата промяна в приоритетите тук беше да се гарантира, че кръпките се разработват и разпространяват възможно най-широко, преди да бъдат докладвани на обществеността. Google казва, че е забелязано компаниите просто да „закриват пукнатините“ в опит да разработят кръпки възможно най-бързо. Това все още оставя уязвимостите да се използват на теория и Google иска да избегне тази възможност. Google очаква „итеративно и по-задълбочено коригиране от доставчици“ с „анализ на първопричината и варианта“ сега, когато фирмите разполагат с пълния 90-дневен период.
Google изпробва тази промяна през следващите 12 месеца и ще бъде интересно да видим как други технологични компании ще реагират на нея. Google не очаква да се хареса на всички, но със сигурност на пръв поглед изглежда по-добре от миналогодишната политика.
Ето защо Project Zero трябва да бъде отделен от Google