Amit tudnod kell
- A Google megváltoztatja a Project Zero 2020-ra vonatkozó közzétételi irányelveit.
- A Google a 90 napos időszak lejárta előtt nem fedi fel a sebezhetőségeket és hibákat, így a cégeknek lesz idejük az alaposabb javításra.
- Ez egy 12 hónapos politikai próba, az év végén újraértékelési időszakkal.
A Google Project Zero 2020-ban kisebb átalakításon esik át – a Google új változtatást fog kipróbálni a sebezhetőségekre vonatkozó ellentmondásos közzétételi szabályzat körül. A változás már újév napján életbe lépett.
Röviden: a jövőben a Google 90 napos türelmi időt kínál a közzétételekre, függetlenül attól, hogy a hibát mikor javították ki. Korábban a Google politikája „90 nap, vagy ha a hibát kijavítják” volt, ami egyes vállalatok felháborodását váltotta ki a közzétételek véletlenszerűsége miatt. A Google most arra törekszik, hogy egy kicsit következetesebb legyen, és még a látszatát is elkerülje a helytelenségnek.
– magyarázta Tim Willis, a Google a csapat így gondolkodik:
Szeretjük [...], hogy az új szabályzat javítani fogja a közzétételi folyamatunk következetességét, ugyanakkor egyszerű és méltányos marad. Egyes gyártók például előre nem láthatónak tartották azt a megállapításunkat, hogy mikor javítottak ki egy sérülékenységet, különösen akkor, ha egy adott időpontban egynél több kutatóval dolgozunk a csapatban. Úgy tekintették, hogy ez akadályozza a nagyobb problémákkal való együttműködést, ezért eltávolítjuk az akadályt, és meglátjuk, javulnak-e a dolgok. Reméljük, hogy ez a kísérlet arra ösztönzi a szállítókat, hogy átláthatók legyenek velünk, több adatot osszák meg, bizalmat építsenek és javítsák az együttműködést.
A prioritások új változása az volt, hogy biztosítsák, hogy a foltokat a lehető legszélesebb körben kidolgozzák és terjesztik, mielőtt a nyilvánosság elé terjesztik. A Google azt állítja, hogy a vállalatok egyszerűen csak „felpapírozzák a repedéseket”, hogy a lehető leggyorsabban kidolgozzák a javításokat. Ez elméletben továbbra is kihasználhatóvá teszi a sebezhetőséget, és a Google el akarja kerülni ezt a lehetőséget. A Google "iteratív és alaposabb javításokat vár a gyártóktól" a "gyökerek és változatok elemzésével", most, hogy a cégek rendelkezésére áll a teljes 90 napos időszak.
A Google a következő 12 hónapban kipróbálja ezt a változást, és érdekes lesz látni, hogyan reagálnak rá más technológiai cégek. A Google nem várja el, hogy mindenkinek tetszeni fog, de minden bizonnyal első pillantásra jobban néz ki, mint a tavalyi politika.
Ez az oka annak, hogy a Project Zero-t el kell választani a Google-tól