Τι πρέπει να ξέρετε
- Η Google αλλάζει την πολιτική αποκάλυψης Project Zero για το 2020.
- Η Google δεν θα αποκαλύπτει πλέον ευπάθειες και σφάλματα πριν από το τέλος της περιόδου των 90 ημερών, δίνοντας στις εταιρείες χρόνο για πιο διεξοδική ενημέρωση κώδικα.
- Πρόκειται για μια δοκιμή πολιτικής 12 μηνών με περίοδο επαναξιολόγησης στο τέλος του έτους.
Το Project Zero της Google υφίσταται μια μικρή αναθεώρηση το 2020 — η Google θα δοκιμάσει μια νέα αλλαγή σχετικά με την αμφιλεγόμενη πολιτική αποκάλυψης ευπάθειας. Η αλλαγή τέθηκε ήδη σε ισχύ την Πρωτοχρονιά.
Εν συντομία: στο εξής, η Google θα προσφέρει πλέον μια περίοδο χάριτος 90 ημερών για αποκαλύψεις, ανεξάρτητα από το πότε επιδιορθώθηκε το σφάλμα. Προηγουμένως, η πολιτική της Google ήταν "90 ημέρες ή όταν διορθωθεί το σφάλμα", προκαλώντας οργή από ορισμένες εταιρείες για τη φαινομενική τυχαιότητα των αποκαλύψεων. Τώρα, η Google στοχεύει να είναι λίγο πιο συνεπής και να αποφύγει ακόμη και την εμφάνιση ανάρμοστων.
Εξήγησε ο Τιμ Γουίλις της Google η σκέψη της ομάδας, λέγοντας:
Μας αρέσει ότι η νέα πολιτική θα βελτιώσει τη συνοχή της διαδικασίας αποκάλυψης, παραμένοντας ταυτόχρονα απλή και δίκαιη. Για παράδειγμα, ορισμένοι προμηθευτές θεώρησαν τον προσδιορισμό μας για το πότε διορθώθηκε μια ευπάθεια ως απρόβλεπτη, ειδικά όταν εργαζόμαστε με περισσότερους από έναν ερευνητές στην ομάδα τη δεδομένη στιγμή. Το είδαν ως εμπόδιο για να συνεργαστούν μαζί μας σε μεγαλύτερα προβλήματα, επομένως θα αφαιρέσουμε το εμπόδιο και θα δούμε αν βελτιωθούν τα πράγματα. Ελπίζουμε ότι αυτό το πείραμα θα ενθαρρύνει τους προμηθευτές να είναι διαφανείς μαζί μας, να μοιράζονται περισσότερα δεδομένα, να χτίζουν εμπιστοσύνη και να βελτιώνουν τη συνεργασία.
Η νέα αλλαγή στις προτεραιότητες εδώ ήταν να διασφαλιστεί ότι τα patches αναπτύσσονται και διαδίδονται όσο το δυνατόν ευρύτερα πριν αναφερθούν στο κοινό. Η Google λέει ότι έχει δει τις εταιρείες απλώς να "χαρτί πάνω από τις ρωγμές" σε μια προσπάθεια να αναπτύξουν patches το συντομότερο δυνατό. Αυτό εξακολουθεί να αφήνει τα τρωτά σημεία εκμεταλλεύσιμα στη θεωρία και η Google θέλει να αποφύγει αυτήν την πιθανότητα. Η Google αναμένει "επαναληπτικές και πιο ενδελεχείς επιδιορθώσεις από τους προμηθευτές" με "ανάλυση βασικών αιτιών και παραλλαγών" τώρα που οι εταιρείες έχουν διαθέσιμη την πλήρη περίοδο των 90 ημερών.
Η Google δοκιμάζει αυτήν την αλλαγή τους επόμενους 12 μήνες και θα είναι ενδιαφέρον να δούμε πώς θα αντιδράσουν άλλες εταιρείες τεχνολογίας σε αυτήν. Η Google δεν περιμένει ότι θα ευχαριστήσει όλους, αλλά σίγουρα φαίνεται καλύτερα από την περσινή πολιτική με την πρώτη ματιά.
Να γιατί το Project Zero πρέπει να διαχωριστεί από την Google