Što trebaš znati
- Google mijenja svoja pravila o otkrivanju podataka Project Zero za 2020.
- Google više neće otkrivati ranjivosti i bugove prije isteka razdoblja od 90 dana, dajući tvrtkama vremena za temeljitije popravke.
- Ovo je 12-mjesečna probna politika s razdobljem ponovne procjene na kraju godine.
Googleov Project Zero prolazi kroz manju reviziju 2020. — Google će isprobati novu promjenu oko svoje kontroverzne politike otkrivanja ranjivosti. Promjena je već stupila na snagu na Novu godinu.
Ukratko: Google će sada ponuditi 90-dnevno razdoblje odgode za otkrivanje, bez obzira na to kada je greška ispravljena. Prethodno je Googleova politika bila "90 dana ili kada se pogreška ispravi", što je izazvalo bijes nekih kompanija zbog naizgled nasumičnog otkrivanja. Sada Google želi biti malo dosljedniji i izbjeći čak i privid neprikladnosti.
Googleov Tim Willis objasnio je tim razmišlja, govoreći:
[...] Sviđa nam se što će nova politika poboljšati dosljednost našeg procesa otkrivanja, a istovremeno ostati jednostavna i poštena. Na primjer, neki dobavljači su našu odluku o tome kada je ranjivost popravljena smatrali nepredvidivom, posebno kada radimo s više od jednog istraživača u timu u određenom trenutku. Oni su to vidjeli kao prepreku za rad s nama na većim problemima, pa ćemo ukloniti prepreku i vidjeti hoće li se stvari poboljšati. Nadamo se da će ovaj eksperiment potaknuti dobavljače da budu transparentni s nama, da dijele više podataka, izgrade povjerenje i poboljšaju suradnju.
Nova promjena u prioritetima ovdje bila je osigurati da se zakrpe razviju i šire što je moguće šire prije nego što se o njima izvijesti javnost. Google kaže da se viđa da tvrtke jednostavno "prekrivaju pukotine" u pokušaju da što brže razviju zakrpe. To u teoriji još uvijek ostavlja ranjivosti koje se mogu iskoristiti, a Google želi izbjeći tu mogućnost. Google očekuje "iterativno i temeljitije krpanje od dobavljača" s "analizom temeljnih uzroka i varijanti" sada kada tvrtke imaju na raspolaganju punih 90 dana.
Google isprobava ovu promjenu u sljedećih 12 mjeseci i bit će zanimljivo vidjeti kako će druge tehnološke tvrtke reagirati na nju. Google ne očekuje da će se svima svidjeti, ali svakako na prvi pogled izgleda bolje od prošlogodišnje politike.
Evo zašto bi se Project Zero trebao odvojiti od Googlea