Apa yang perlu Anda ketahui
- Google mengubah kebijakan pengungkapan Project Zero untuk tahun 2020.
- Google tidak akan lagi mengungkapkan kerentanan dan bug sebelum akhir periode 90 hari, memberikan waktu bagi perusahaan untuk patching yang lebih menyeluruh.
- Ini adalah uji coba kebijakan selama 12 bulan dengan periode evaluasi ulang pada akhir tahun.
Project Zero Google sedang menjalani perombakan kecil pada tahun 2020 — Google akan menguji coba perubahan baru seputar kebijakan pengungkapan kerentanannya yang kontroversial. Perubahan tersebut sudah mulai berlaku pada Hari Tahun Baru.
Singkatnya: ke depan, Google sekarang akan menawarkan masa tenggang 90 hari untuk pengungkapan, terlepas dari kapan bug diperbaiki. Sebelumnya, kebijakan Google adalah "90 hari atau saat bug diperbaiki", yang menimbulkan kemarahan dari beberapa perusahaan karena pengungkapannya yang tampak acak. Sekarang, Google bertujuan untuk menjadi sedikit lebih konsisten dan bahkan untuk menghindari kesan ketidakpantasan.
Tim Willis dari Google menjelaskan pemikiran tim, mengatakan:
Kami [...] senang bahwa kebijakan baru ini akan meningkatkan konsistensi proses pengungkapan kami, sekaligus tetap sederhana dan adil. Misalnya, beberapa vendor menganggap penentuan kami tentang kapan kerentanan diperbaiki tidak dapat diprediksi, terutama saat bekerja dengan lebih dari satu peneliti dalam tim pada waktu tertentu. Mereka melihatnya sebagai penghalang untuk bekerja sama dengan kami dalam masalah yang lebih besar, jadi kami akan menghilangkan penghalang dan melihat apakah semuanya membaik. Kami berharap eksperimen ini akan mendorong vendor untuk bersikap transparan dengan kami, berbagi lebih banyak data, membangun kepercayaan, dan meningkatkan kolaborasi.
Perubahan prioritas baru di sini adalah untuk memastikan bahwa tambalan dikembangkan dan disebarluaskan seluas mungkin sebelum dilaporkan ke publik. Google mengatakan bahwa terlihat perusahaan hanya "menutupi celah" dalam upaya untuk mengembangkan tambalan secepat mungkin. Itu masih menyisakan kerentanan yang dapat dieksploitasi secara teori, dan Google ingin menghindari kemungkinan itu. Google mengharapkan "penambalan berulang dan lebih menyeluruh dari vendor" dengan "akar penyebab dan analisis varian" sekarang karena perusahaan memiliki periode 90 hari penuh yang tersedia.
Google sedang menguji coba perubahan ini selama 12 bulan ke depan, dan akan menarik untuk melihat bagaimana perusahaan teknologi lain bereaksi terhadapnya. Google tidak berharap untuk menyenangkan semua orang, tapi jelas terlihat lebih baik dari kebijakan tahun lalu pada pandangan pertama.
Inilah mengapa Project Zero harus dipisahkan dari Google