Project Zero от Google дает техническим фирмам больше времени на устранение уязвимостей

Project Zero от Google дает техническим фирмам больше времени на устранение уязвимостей

Google Project Zero, команда экспертов по безопасности, нанятая поисковым гигантом для поиска уязвимостей программного обеспечения нулевого дня, обновила свои правила раскрытия уязвимостей.





Обновленная политика добавляет дополнительное 30-дневное окно для раскрытия некоторых ошибок безопасности. До этого исследователи Google публиковали подробную информацию об уязвимостях в своем онлайн-трекере ошибок в конце 90-дневного периода или после исправления ошибки.



мне нужен Adobe Media Encoder

Дольше патчить

Дополнительный месяц (приблизительно) дает и поставщикам, и пользователям немного больше времени на разработку, распространение и установку необходимых исправлений для своего программного обеспечения, прежде чем сведения об уязвимости будут опубликованы в Интернете. Это хорошая новость, поскольку в тот момент, когда подробности об уязвимостях публикуются в Интернете, злоумышленники потенциально могут использовать их в качестве оружия.





Хотя патчи чаще всего выпускаются к моменту публикации подробностей об уязвимостях, это по-прежнему зависит от того, что пользователи сами установили патчи. В некоторых случаях это может занять много времени. Поэтому дополнительные 30 дней Google - хорошая новость.

«Цель обновления нашей политики до 2021 года - сделать график принятия исправлений явной частью нашей политики раскрытия уязвимостей», - сказал Тим Уиллис из Project Zero Vendors. Сообщение блога описывая изменение. «У поставщиков теперь будет 90 дней на разработку исправлений и еще 30 дней на принятие исправлений».



Project Zero дополнительно продлевает дополнительный 30-дневный льготный период до уязвимости нулевого дня которые активно используются против пользователей в дикой природе. Хотя крайний срок раскрытия информации составляет всего семь дней для исправления, технические подробности будут опубликованы только через 30 дней после исправления - при условии, что проблема будет устранена разработчиками. В противном случае технические подробности будут опубликованы немедленно.

Расширен до уязвимостей нулевого дня, тоже

Эти новые правила будут применяться к 2021 году, хотя в будущем все может снова измениться. Как отмечается в сообщении в блоге: «Мы предпочитаем выбрать отправную точку, которой может придерживаться большинство поставщиков, а затем постепенно сокращать сроки разработки и внедрения исправлений».



Правильное раскрытие информации такого рода - сложная задача, поскольку необходимо найти баланс между интересами пользователей и дать разработчикам достаточно времени для разработки и выпуска исправления. Как четко известно команде Project Zero, эта область будет и дальше изменяться по мере разработки мер кибербезопасности и исправлений.

kodi работает медленно на firestick 2017

Однако на данный момент вам будет трудно предположить, что эксперты по безопасности Google поступают неправильно.



Кредит изображения: Митчелл Луо / Unsplash CC

Делиться Делиться Твитнуть Эл. адрес Вторник исправлений Microsoft исправляет уязвимости нулевого дня и другие критические ошибки

Обновите свои системы Windows, чтобы защититься от критических уязвимостей.

Читать далее Похожие темы
  • Безопасность
  • Новости техники
  • Google
  • Компьютерная безопасность
Об авторе Люк Дормель(Опубликовано 180 статей)

Люк был поклонником Apple с середины 1990-х годов. Его основные интересы, связанные с технологиями, - это умные устройства и пересечение технологий и гуманитарных наук.

Ещё от Luke Dormehl

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться