Projekt Zero Google daje firmom technologicznym więcej czasu na usuwanie luk

Projekt Zero Google daje firmom technologicznym więcej czasu na usuwanie luk

Google Project Zero, zespół ekspertów ds. bezpieczeństwa zatrudnionych przez giganta wyszukiwania w celu polowania na luki w oprogramowaniu dnia zerowego, zaktualizował swoje wytyczne dotyczące ujawniania luk.





Zaktualizowane zasady dodają dodatkowe 30-dniowe okno na ujawnienie niektórych błędów bezpieczeństwa. Wcześniej badacze Google publikowali szczegóły luk w swoim narzędziu do śledzenia błędów online pod koniec 90-dniowego okna lub po załataniu błędu.



jak pozbyć się nadprogramów w systemie Windows 10

Już do łatania

Dodatkowy miesiąc (w przybliżeniu) daje zarówno dostawcom, jak i użytkownikom nieco więcej czasu na opracowanie, udostępnienie i zainstalowanie niezbędnych poprawek do ich oprogramowania, zanim szczegóły dotyczące luki zostaną udostępnione online. To dobra wiadomość, ponieważ w momencie, gdy szczegóły dotyczące luk w zabezpieczeniach zostaną udostępnione online, mogą one potencjalnie zostać wykorzystane przez atakujących.





Chociaż łatki są najczęściej publikowane do momentu opublikowania szczegółów luki w zabezpieczeniach, nadal zależy to od tego, czy użytkownicy sami zainstalowali łatki. W niektórych przypadkach może to być czasochłonne zadanie. Dodatkowe 30 dni Google to zatem dobra wiadomość.

„Celem naszej aktualizacji zasad do 2021 r. jest uczynienie harmonogramu przyjęcia poprawek jawną częścią naszej polityki ujawniania luk w zabezpieczeniach” – powiedział Tim Willis z Project Zero Vendors w post na blogu opisując zmianę. „Sprzedawcy będą mieli teraz 90 dni na opracowanie poprawek i dodatkowe 30 dni na przyjęcie poprawek”.



Project Zero dodatkowo przedłuża dodatkowy 30-dniowy okres karencji do zero-day luki które są aktywnie wykorzystywane przeciwko użytkownikom na wolności. Chociaż ostateczny termin ujawnienia poprawek to zaledwie siedem dni, szczegóły techniczne zostaną opublikowane dopiero po 30 dniach od poprawki – o ile problem zostanie rozwiązany przez programistów. Jeśli nie, szczegóły techniczne zostaną opublikowane natychmiast.

Rozszerzone również na luki dnia zerowego

Te nowe przepisy będą obowiązywać od 2021 r., chociaż w przyszłości może się to zmienić. Jak zauważono w poście na blogu: „Naszą preferencją jest wybranie punktu wyjścia, który może być konsekwentnie spełniany przez większość dostawców, a następnie stopniowe obniżanie zarówno czasu opracowywania poprawek, jak i wdrażania poprawek”.



Właściwe ujawnienie tego rodzaju informacji to ciężka praca, równoważenie najlepiej pojętego interesu użytkowników z zapewnieniem programistom wystarczającej ilości czasu na opracowanie i wydanie łatki. Jak doskonale zdaje sobie sprawę zespół Project Zero, jest to obszar, który będzie nadal ulepszany w miarę rozwoju cyberbezpieczeństwa i środków łatania.

dlaczego mój procesor pracuje na 100

Na razie jednak trudno byłoby zasugerować, że eksperci ds. Bezpieczeństwa Google nie postępują właściwie.



Źródło: Mitchell Luo/ Odblokuj CC

Udział Udział Ćwierkać E-mail Wtorkowa łata Microsoftu naprawia exploita dnia zerowego i inne krytyczne błędy

Zaktualizuj swoje systemy Windows, aby chronić się przed krytycznymi lukami.

Czytaj dalej Powiązane tematy
  • Bezpieczeństwo
  • Wiadomości techniczne
  • Google
  • Bezpieczeństwo cybernetyczne
O autorze Łukasza Dormehla(180 opublikowanych artykułów)

Luke jest fanem Apple od połowy lat 90. XX wieku. Jego główne zainteresowania związane z technologią to inteligentne urządzenia i skrzyżowanie technologii i sztuk wyzwolonych.

Więcej od Luke’a Dormehl

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować