Vad du behöver veta
- Google ändrar sin Project Zero-policy för 2020.
- Google kommer inte längre att avslöja sårbarheter och buggar före utgången av 90-dagarsperioden, vilket ger företagen tid för mer grundlig korrigering.
- Detta är en 12-månaders policyprövning med en omvärderingsperiod i slutet av året.
Googles Project Zero genomgår en mindre översyn 2020 – Google kommer att testa en ny förändring kring sin kontroversiella policy för avslöjande av sårbarheter. Ändringen trädde i kraft redan på nyårsdagen.
Kort sagt: framöver kommer Google nu att erbjuda en 90-dagars frist för avslöjande, oavsett när felet åtgärdades. Tidigare var Googles policy "90 dagar eller när felet är åtgärdat", vilket lockade till irritation från vissa företag över den till synes slumpmässiga avslöjandet. Nu strävar Google efter att vara lite mer konsekvent och att undvika ens sken av oegentligheter.
Googles Tim Willis förklarade lagets funderingar och säger:
Vi gillar att den nya policyn kommer att förbättra konsekvensen i vår avslöjandeprocess, samtidigt som den förblir enkel och rättvis. Till exempel ansåg vissa leverantörer att vårt beslut om när en sårbarhet åtgärdades var oförutsägbart, särskilt när vi arbetade med mer än en forskare i teamet vid en viss tidpunkt. De såg det som ett hinder för att samarbeta med oss i större problem, så vi ska ta bort barriären och se om det blir bättre. Vi hoppas att detta experiment kommer att uppmuntra leverantörer att vara transparenta med oss, att dela mer data, bygga förtroende och förbättra samarbetet.
Den nya förändringen av prioriteringarna här var att se till att patchar utvecklas och sprids så brett som möjligt innan de rapporteras till allmänheten. Google säger att man har sett att företag helt enkelt "papper över sprickorna" i ett försök att utveckla patchar så snabbt som möjligt. Det låter fortfarande sårbarheterna exploateras i teorin, och Google vill undvika den möjligheten. Google förväntar sig "iterativ och mer grundlig patchning från leverantörer" med "grundorsak och variantanalys" nu när företagen har hela 90-dagarsperioden tillgänglig.
Google testar denna förändring under de kommande 12 månaderna, och det ska bli intressant att se hur andra teknikföretag reagerar på det. Google förväntar sig inte att det ska glädja alla, men det ser verkligen bättre ut än förra årets policy vid första anblicken.
Här är varför Project Zero bör delas från Google