Mitä sinun tarvitsee tietää
- Google muuttaa Project Zero -ilmoituskäytäntöään vuodelle 2020.
- Google ei enää paljasta haavoittuvuuksia ja bugeja ennen 90 päivän jakson päättymistä, mikä antaa yrityksille aikaa perusteellisempiin korjauksiin.
- Tämä on 12 kuukauden politiikkakokeilu, jonka uudelleenarviointijakso on vuoden lopussa.
Googlen Project Zeroa uudistetaan hieman vuonna 2020 – Google kokeilee uutta muutosta kiistanalaisen haavoittuvuuden paljastamiskäytäntöönsä. Muutos astui voimaan jo uudenvuodenpäivänä.
Lyhyesti: jatkossa Google tarjoaa nyt 90 päivän lisäajan ilmoituksille riippumatta siitä, milloin virhe on korjattu. Aiemmin Googlen käytäntö oli "90 päivää tai kun vika on korjattu", mikä sai joidenkin yritysten vihaa sen paljastamisen näennäisestä satunnaisuudesta. Nyt Google pyrkii olemaan hieman johdonmukaisempi ja välttämään sopimattomuuden vaikutelmaa.
Googlen Tim Willis selitti tiimi ajattelee sanoen:
Pidämme [...] siitä, että uusi käytäntö parantaa tiedonantoprosessimme johdonmukaisuutta ja pysyy samalla yksinkertaisena ja oikeudenmukaisena. Esimerkiksi jotkut toimittajat pitivät päätöksemme haavoittuvuuden korjaamisesta arvaamattomana, varsinkin kun työskennellyt useamman kuin yhden tutkijan kanssa ryhmässä tiettynä ajankohtana. He pitivät sitä esteenä työskentelylle kanssamme suurempien ongelmien parissa, joten aiomme poistaa esteen ja katsoa, paranevatko asiat. Toivomme tämän kokeilun rohkaisevan toimittajia olemaan avoimia kanssamme, jakamaan enemmän tietoa, rakentamaan luottamusta ja parantamaan yhteistyötä.
Uusi prioriteettien muutos tässä oli varmistaa, että korjaustiedostoja kehitetään ja levitetään mahdollisimman laajasti ennen kuin niistä ilmoitetaan yleisölle. Google sanoo, että se on nähnyt yritysten yksinkertaisesti "paperin yli halkeamia" yrittääkseen kehittää korjaustiedostoja mahdollisimman nopeasti. Tämä jättää edelleen haavoittuvuudet teoriassa hyödynnettävissä, ja Google haluaa välttää tämän mahdollisuuden. Google odottaa "iteratiivista ja perusteellisempaa korjausta toimittajilta" "perussyy- ja varianttianalyysillä" nyt, kun yrityksillä on käytettävissään koko 90 päivän ajanjakso.
Google kokeilee tätä muutosta seuraavan 12 kuukauden aikana, ja on mielenkiintoista nähdä, miten muut teknologiayritykset reagoivat siihen. Google ei odota sen miellyttävän kaikkia, mutta se näyttää varmasti paremmalta kuin viime vuoden politiikka ensi silmäyksellä.
Tästä syystä Project Zero tulisi erottaa Googlesta