Čo potrebuješ vedieť
- Google mení svoje pravidlá zverejňovania Project Zero na rok 2020.
- Google už nebude zverejňovať zraniteľné miesta a chyby pred uplynutím 90-dňového obdobia, čo firmám poskytne čas na dôkladnejšie opravy.
- Ide o 12-mesačné skúšobné obdobie s obdobím prehodnotenia na konci roka.
Projekt Zero spoločnosti Google prechádza v roku 2020 menšou opravou – Google vyskúša novú zmenu týkajúcu sa svojej kontroverznej politiky zverejňovania zraniteľností. Zmena vstúpila do platnosti už na Nový rok.
Stručne povedané: v budúcnosti bude spoločnosť Google ponúkať 90-dňovú lehotu na zverejnenie informácií bez ohľadu na to, kedy bola chyba opravená. Predtým bola zásada spoločnosti Google „90 dní alebo keď bude chyba opravená“, čo vyvolalo hnev niektorých spoločností na zdanlivú náhodnosť jej zverejnení. Teraz sa Google snaží byť o niečo dôslednejší a vyhnúť sa čo i len zdanlivému nevhodnosti.
Vysvetlil Tim Willis z Google tím rozmýšľa a hovorí:
Páči sa nám [...], že nová politika zlepší konzistentnosť nášho procesu zverejňovania, pričom zostane jednoduchá a spravodlivá. Niektorí predajcovia napríklad považovali naše určenie toho, kedy bola zraniteľnosť opravená, za nepredvídateľné, najmä pri práci s viac ako jedným výskumníkom v tíme v danom čase. Vnímali to ako prekážku spolupráce s nami na väčších problémoch, takže bariéru odstránime a uvidíme, či sa veci zlepšia. Dúfame, že tento experiment povzbudí dodávateľov, aby boli s nami transparentní, zdieľali viac údajov, budovali dôveru a zlepšovali spoluprácu.
Novou zmenou priorít tu bolo zabezpečiť, aby sa záplaty vyvíjali a šírili v čo najväčšom rozsahu predtým, ako budú nahlásené verejnosti. Google hovorí, že to bolo vidieť spoločnosti jednoducho "papier cez trhliny" v snahe vyvinúť záplaty tak rýchlo, ako je to možné. To stále ponecháva zraniteľnosti teoreticky zneužiteľné a Google sa chce tejto možnosti vyhnúť. Google teraz, keď firmy majú k dispozícii celé 90-dňové obdobie, očakáva „iteratívne a dôkladnejšie opravy od dodávateľov“ s „analýzou hlavných príčin a variantov“.
Google túto zmenu testuje počas nasledujúcich 12 mesiacov a bude zaujímavé sledovať, ako na ňu zareagujú ostatné technologické spoločnosti. Google neočakáva, že poteší každého, no rozhodne to na prvý pohľad vyzerá lepšie ako minuloročná politika.
Tu je dôvod, prečo by mal byť Project Zero oddelený od spoločnosti Google