Google Project Zero, екип от експерти по сигурността, наети от гиганта за търсене със задачата да търсят софтуерни уязвимости с нулев ден, актуализира своите насоки за разкриване на уязвимости.
Актуализираната политика добавя допълнителен 30-дневен прозорец към някои разкрития на грешки в сигурността. Преди това изследователите на Google ще публикуват подробности за уязвимостите в своя онлайн инструмент за проследяване на грешки в края на 90-дневен прозорец или след корекцията на грешката.
По-дълго за кръпка
Допълнителният месец (приблизително) дава на доставчиците и потребителите малко повече време за разработване, споделяне и инсталирайте необходимите корекции за техния софтуер, преди да бъдат споделени онлайн подробности за уязвимостта. Това е добра новина, тъй като в момента, в който подробностите за уязвимостта се споделят онлайн, те биха могли да бъдат въоръжени от нападателите.
Въпреки че най-често кръпките се освобождават от точката, в която се публикуват подробности за уязвимостта, това все още разчита на потребителите, които са инсталирали самите корекции. В някои случаи това може да отнеме много време. Поради това допълнителните 30 дни на Google са добри новини.
„Целта на нашата актуализация на политиката за 2021 г. е да направим графика за приемане на корекции изрична част от нашата политика за разкриване на уязвимости“, каза Тим Уилис от Project Zero Vendors в блог пост описвайки промяната. „Доставчиците вече ще имат 90 дни за разработване на корекции и допълнителни 30 дни за приемане на корекции.“
Project Zero допълнително удължава допълнителния 30-дневен гратисен период до уязвимости с нулев ден които се експлоатират активно срещу потребители в дивата природа. Докато крайният срок за разкриване е само седем дни за корекция, техническите подробности ще бъдат публикувани само 30 дни след корекцията, стига проблемът да бъде отстранен от разработчиците. Ако не, техническите подробности ще бъдат публикувани незабавно.
Разширено и до уязвимости с нулев ден
Тези нови правила ще важат за 2021 г., въпреки че нещата може да се променят отново в бъдеще. Както се отбелязва в публикацията в блога: „Нашето предпочитание е да изберем отправна точка, която да бъде последователно изпълнена от повечето доставчици, и след това постепенно да намалим сроковете за разработване на корекции и за приемане на корекции.“
Правилното получаване на тези видове разкрития е трудна работа, като се балансират най-добрите интереси на потребителите, като се даде на разработчиците достатъчно време да разработят и пуснат кръпка. Тъй като екипът на Project Zero е ясно наясно, това е област, която ще продължи да се променя, докато се развиват мерки за киберсигурност и корекция.
Засега обаче ще бъдете трудно да предположите, че експертите по сигурността на Google не постъпват правилно.
Кредит за изображение: Мичъл Луо /Unsplash CC
Актуализирайте вашите Windows системи, за да се предпазите от критичните уязвимости.
Прочетете Напред
- Технически новини
- Кибер защита
Люк е фен на Apple от средата на 90-те години. Основните му интереси, свързани с технологиите, са интелигентните устройства и пресечната точка между технологиите и свободните изкуства.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.
