Vad du behöver veta
- Google ändrar sin Project Zero-policy för 2020.
- Google kommer inte längre att avslöja sårbarheter och buggar före utgången av 90-dagarsperioden, vilket ger företagen tid för mer grundlig korrigering.
- Detta är en 12-månaders policyprövning med en omvärderingsperiod i slutet av året.
Googles Project Zero genomgår en mindre översyn 2020 – Google kommer att testa en ny förändring kring sin kontroversiella policy för avslöjande av sårbarheter. Ändringen trädde i kraft redan på nyårsdagen.
Kort sagt: framöver kommer Google nu att erbjuda en 90-dagars frist för avslöjande, oavsett när felet åtgärdades. Tidigare var Googles policy "90 dagar eller när felet är åtgärdat", vilket lockade till irritation från vissa företag över den till synes slumpmässiga avslöjandet. Nu strävar Google efter att vara lite mer konsekvent och att undvika ens sken av oegentligheter.
Googles Tim Willis förklarade lagets funderingar och säger:
Den nya förändringen av prioriteringarna här var att se till att patchar utvecklas och sprids så brett som möjligt innan de rapporteras till allmänheten. Google säger att man har sett att företag helt enkelt "papper över sprickorna" i ett försök att utveckla patchar så snabbt som möjligt. Det låter fortfarande sårbarheterna exploateras i teorin, och Google vill undvika den möjligheten. Google förväntar sig "iterativ och mer grundlig patchning från leverantörer" med "grundorsak och variantanalys" nu när företagen har hela 90-dagarsperioden tillgänglig.
Google testar denna förändring under de kommande 12 månaderna, och det ska bli intressant att se hur andra teknikföretag reagerar på det. Google förväntar sig inte att det ska glädja alla, men det ser verkligen bättre ut än förra årets policy vid första anblicken.
Här är varför Project Zero bör delas från Google