Hva du trenger å vite
- Google endrer retningslinjer for Project Zero-avsløring for 2020.
- Google vil ikke lenger avsløre sårbarheter og feil før utløpet av 90-dagersperioden, noe som gir bedrifter tid til mer grundig oppdatering.
- Dette er en 12-måneders politikkutprøving med en reevalueringsperiode på slutten av året.
Googles Project Zero gjennomgår en mindre overhaling i 2020 – Google vil prøve en ny endring rundt sin kontroversielle policy for avsløring av sårbarheter. Endringen trådte i kraft allerede 1. nyttårsdag.
Kort sagt: fremover vil Google nå tilby en 90-dagers frist for avsløringer, uavhengig av når feilen ble rettet. Tidligere var Googles policy "90 dager eller når feilen er fikset", og trakk istand fra noen selskaper over den tilsynelatende tilfeldigheten i avsløringene. Nå har Google som mål å være litt mer konsistent og unngå til og med inntrykk av upassende.
Googles Tim Willis forklarte lagets tenkning og sa:
Vi [...]liker at den nye policyen vil forbedre konsistensen i avsløringsprosessen vår, samtidig som den forblir enkel og rettferdig. For eksempel anså noen leverandører vår bestemmelse av når en sårbarhet ble løst som uforutsigbar, spesielt når vi jobber med mer enn én forsker i teamet på et gitt tidspunkt. De så det som en barriere for å samarbeide med oss om større problemer, så vi skal fjerne barrieren og se om ting blir bedre. Vi håper dette eksperimentet vil oppmuntre leverandører til å være transparente med oss, dele mer data, bygge tillit og forbedre samarbeidet.
Den nye endringen i prioriteringer her var å sikre at patcher utvikles og spres så bredt som mulig før de rapporteres til offentligheten. Google sier at de har sett at selskaper bare "papirer over sprekkene" i et forsøk på å utvikle patcher så raskt som mulig. Det gjør at sårbarhetene fortsatt kan utnyttes i teorien, og Google ønsker å unngå den muligheten. Google forventer "iterativ og mer grundig oppdatering fra leverandører" med "grunnårsak og variantanalyse" nå som firmaer har hele 90-dagers perioden tilgjengelig.
Google prøver denne endringen i løpet av de neste 12 månedene, og det vil være interessant å se hvordan andre teknologiselskaper reagerer på den. Google forventer ikke at det skal glede alle, men det ser absolutt bedre ut enn fjorårets policy ved første øyekast.
Her er grunnen til at Project Zero bør deles fra Google