Что тебе нужно знать
- Google меняет свою политику раскрытия информации Project Zero на 2020 год.
- Google больше не будет раскрывать уязвимости и ошибки до истечения 90-дневного периода, что даст фирмам время для более тщательного исправления.
- Это 12-месячный пробный период политики с периодом переоценки в конце года.
В 2020 году Project Zero от Google претерпевает незначительные изменения — Google опробует новое изменение в своей противоречивой политике раскрытия уязвимостей. Изменение уже вступило в силу в первый день Нового года.
Вкратце: в будущем Google будет предлагать 90-дневный льготный период для раскрытия информации, независимо от того, когда ошибка была исправлена. Ранее политика Google гласила: «90 дней или когда ошибка будет исправлена», что вызвало гнев некоторых компаний из-за кажущейся случайности раскрытия информации. Теперь Google стремится быть немного более последовательным и избегать даже видимости нарушения правил.
Тим Уиллис из Google объяснил думает команда, говоря:
Нам [...] нравится, что новая политика улучшит согласованность нашего процесса раскрытия информации, оставаясь при этом простой и справедливой. Например, некоторые поставщики считали наше определение времени устранения уязвимости непредсказуемым, особенно при работе с более чем одним исследователем в команде в данный момент времени. Они увидели в этом барьер для работы с нами над более крупными проблемами, поэтому мы собираемся устранить барьер и посмотреть, улучшится ли ситуация. Мы надеемся, что этот эксперимент побудит поставщиков быть с нами прозрачными, делиться большим количеством данных, укреплять доверие и улучшать сотрудничество.
Новое изменение приоритетов здесь заключалось в том, чтобы обеспечить разработку и распространение исправлений как можно шире, прежде чем они будут опубликованы. Google говорит, что компании просто «замазывали трещины» в попытке разработать исправления как можно быстрее. Это по-прежнему оставляет уязвимости теоретически пригодными для эксплуатации, и Google хочет избежать такой возможности. Google ожидает «повторяющихся и более тщательных исправлений от поставщиков» с «анализом основных причин и вариантов» теперь, когда фирмам доступен полный 90-дневный период.
Google тестирует это изменение в течение следующих 12 месяцев, и будет интересно посмотреть, как на него отреагируют другие технологические компании. Google не ожидает, что это понравится всем, но на первый взгляд, безусловно, выглядит лучше, чем прошлогодняя политика.
Вот почему Project Zero следует отделить от Google