Kas jums jāzina
- Google maina savu Project Zero informācijas atklāšanas politiku 2020. gadam.
- Google vairs neatklās ievainojamības un kļūdas pirms 90 dienu perioda beigām, ļaujot uzņēmumiem veikt rūpīgāku ielāpu.
- Šis ir 12 mēnešu politikas izmēģinājums ar atkārtotas novērtēšanas periodu gada beigās.
Google projektā Zero 2020. gadā tiek veikts neliels kapitālais remonts — Google izmēģinās jaunas izmaiņas saistībā ar savu strīdīgo ievainojamības atklāšanas politiku. Izmaiņas stājās spēkā jau Jaungada dienā.
Īsumā: turpmāk Google piedāvās 90 dienu pagarinājuma periodu informācijas atklāšanai neatkarīgi no kļūdas novēršanas brīža. Iepriekš Google politika bija "90 dienas vai tad, kad kļūda ir novērsta", izraisot dažu uzņēmumu sašutumu par šķietamo informācijas izpaušanas nejaušību. Tagad Google mērķis ir būt nedaudz konsekventākam un izvairīties no pat šķietamām neatbilstībām.
Google pārstāvis Tims Viliss paskaidroja komanda domā, sakot:
Mums patīk, ka jaunā politika uzlabos mūsu informācijas izpaušanas procesa konsekvenci, vienlaikus saglabājot vienkāršu un godīgu. Piemēram, daži pārdevēji uzskatīja, ka mūsu noteikšana par ievainojamības novēršanu ir neparedzama, it īpaši, strādājot ar vairāk nekā vienu pētnieku komandā noteiktā laikā. Viņi to uzskatīja par šķērsli, lai strādātu ar mums pie lielākām problēmām, tāpēc mēs noņemsim barjeru un pārbaudīsim, vai situācija uzlabosies. Mēs ceram, ka šis eksperiments mudinās pakalpojumu sniedzējus būt pārredzamiem ar mums, kopīgot vairāk datu, vairot uzticību un uzlabot sadarbību.
Jaunās prioritāšu izmaiņas bija nodrošināt, lai ielāpi tiktu izstrādāti un izplatīti pēc iespējas plašāk, pirms par tiem ziņo sabiedrībai. Google saka, ka ir redzams, ka uzņēmumi vienkārši "papīra pāri plaisām", cenšoties pēc iespējas ātrāk izstrādāt ielāpus. Tas joprojām teorētiski ļauj izmantot ievainojamības, un Google vēlas izvairīties no šīs iespējas. Google sagaida, ka pārdevēji veiks iteratīvu un rūpīgāku ielāpu, izmantojot "galveno iemeslu un variantu analīzi", tagad, kad uzņēmumiem ir pieejams viss 90 dienu periods.
Google izmēģina šīs izmaiņas nākamo 12 mēnešu laikā, un būs interesanti redzēt, kā citi tehnoloģiju uzņēmumi uz to reaģēs. Google negaida, ka tas iepriecinās visus, taču tas noteikti izskatās labāk nekā pagājušā gada politika no pirmā acu uzmetiena.
Lūk, kāpēc Project Zero ir jāatdala no Google