Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Команда Google Project Zero изменила сроки публичного раскрытия данных о найденных уязвимостях
Участники проекта Google Project Zero, работающие в сфере информационной безопасности, объявили об изменении сроков публичной публикации данных о найденных уязвимостях. Это делается для того, чтобы у конечных пользователей было больше времени на установку соответствующих патчей безопасности и обновление программного обеспечения.
Согласно имеющимся данным, у разработчиков останется 90 дней на исправление некритичных багов, а при необходимости они смогут запросить дополнительные 14 дней для выпуска патча. Отличие заключается в том, что Project Zero будет ждать ещё 30 дней с момента выпуска патча, прежде чем информация об уязвимости станет достоянием общественности. На исправление уязвимостей нулевого дня у разработчиков будет 7 дней с возможностью получения дополнительных 3 дней в случае необходимости. Информация об уязвимостях нулевого дня также будет публиковаться только через 30 дней после выхода исправления.
Стоит отметить, что в прошлом году Google предоставила разработчикам возможность в течение более продолжительного времени заниматься исправлением багов, чтобы у конечных пользователей было больше времени на установку патчей. Однако на деле это не дало ожидаемого результата. «На практике мы не наблюдали значительного сдвига в сроках разработки исправлений, и мы продолжали получать сообщения поставщиков, которые выражали обеспокоенность публичным раскрытием технических подробностей касательно уязвимостей и эксплойтов до того, как многие пользователи успевают установить исправление», — сообщил один из участников проекта Project Zero Тим Уиллис (Tim Willis).
Теперь же у разработчиков будет больше времени для создания и распространения патчей. Если же исправление не будет выпущено в течение установленных сроков, Project Zero обнародует технические подробности касательно той или иной уязвимости. Изменения в сроках публикации информации об уязвимостях будут актуальны в течение этого года, но не исключено, что в следующем году участники Project Zero продолжат придерживаться этого графика.
Источник:
