Google’ın Project Zero güvenlik kolu, güvenlik açıkları olduğunu kanıtlayan şirketlerin yakında kirlenmeden önce daha fazla zamana sahip olacağını söylüyor.
Grup, kurbanlara düzeltmeleri yayınlamaları için daha fazla zaman vermesi gereken yeni güvenlik açıklarının ve kusurlarının nasıl rapor edileceğini yöneten yeni bir model izleyeceğini duyurdu.
Gelecekte, Project Zero, düzeltilmemiş kalan güvenlik açıkları için olağan 90 günlük ifşa dönemini sürdürecek, ancak yama Bu süre zarfında ortaya çıkan ekip, yamayı yayınladıktan sonra incelemeleri için teknik ayrıntıları yayınlamak üzere şimdi 30 gün bekleyecek.
Proje penceresi sıfırdır
Daha önce, Project Zero, bir yama yayınlanmış olsun ya da olmasın, 90 gün sonra ortaya çıkan kusurların ayrıntılarını her zaman yayınlıyordu. Ancak ekip, düzeltmelerin doğru şekilde uygulanmasını sağlamak için satıcılara daha fazla zaman tanımak için şimdi bunu değiştirmek istiyor.
Proje yöneticisi Tim Willis, “Bugünden itibaren ifşa politikamızı, güvenlik açıklarını düzeltmek için gereken süreyi azaltmaya, ifşa süreleriyle ilgili mevcut endüstri standartlarını iyileştirmeye ve teknik ayrıntılar yayınlandığında değiştirmeye yeniden odaklanacak şekilde değiştireceğiz” dedi. Blog yazısı Değişiklikleri duyurmak.
Willis, orijinal fikrin, satıcının kullanıcıların bir yama yüklemesi için daha fazla zaman istemesi halinde, düzeltmeyi 90 günlük döngünün başlarında göndermeye daha sonra değil de öncelik vermeleri olduğunu belirtti.
Bununla birlikte, uygulamada Project Zero, yama geliştirme programlarında genellikle büyük bir değişiklik görmedi ve Willis, grubun, çoğu kullanıcıdan önce güvenlik açıkları ve güvenlik açıklarından yararlanma konusundaki teknik ayrıntıları kamuya açıklayan ilgili satıcılardan geri bildirim almaya devam ettiğini söyledi. .
“Başka bir deyişle, düzeltmeyi benimsemek için örtülü zaman çizelgesi açıkça anlaşılmadı,” dedi.
Doğada halihazırda aktif olan güvenlik açıkları söz konusu olduğunda, Google, etkilenen tarafı bilgilendirdikten bir hafta sonra yine de bir açıklama yayınlamaya çalışacak ve kusur giderilmezse teknik ayrıntılar da dahil edilecektir.
Ancak 7 günlük bildirim süresi içinde bir düzeltme yapılırsa, teknik ayrıntılar 30 gün sonra görünecektir. Willis artık bu yeni “90 + 30” sistemiyle yakın zamanda iletişime geçilecek olsa da, satıcıların karşılayabileceği son tarihlerle başlaması gerektiğini belirten Willis ile satıcılar artık 3 günlük bir ödemesiz süre talep edebilecekler.
“Mevcut veri izleme güvenlik açıklarının yama zamanlarına dayanarak, muhtemelen 2022 için ’84 + 28 ‘modeline geçebileceğiz (son tarihler yediye eşit olarak bölünerek, son tarihlerin düşme şansını büyük ölçüde azaltabiliriz) hafta sonu. hafta).
“’90 + 30′ modeline geçiş, düzeltmenin onaylandığı zamandan ayırmamıza, forvet / savunmacı değiş tokuşları hakkındaki tartışmalı tartışmaları azaltmamıza ve teknik ayrıntıları paylaşmamıza ve aynı zamanda kullanıcıların sona erdiği sürenin kısaltılmasını istememize olanak tanıyor. bilinen saldırılara karşı savunmasız olmak. “
“Bilgilendirme politikası, birçok değiş tokuş gerektiren karmaşık bir konudur ve bu kolay bir karar değildir. 2021 politikası ve ifşa deneyiminin gelecek için iyi bir temel oluşturduğu konusunda iyimseriz ve bir teşvik dengesi vardır. kullanıcı güvenliğinde olumlu iyileştirmeler sağlar. “
Karşısında 9to5Google
“Pop kültürünün ninjası. Sosyal medya fanatiği. Tipik problem çözücü. Kahve pratisyeni. Çok aşık olur. Seyahat tutkunu.”
More Stories
IFE Erişilebilirlik Çözümleri’nin Thales serisi prestijli Kristal Kabin Ödülünü kazandı
Özel büyülü temelleri ortaya çıkarın: Temizleme, Fırtınalar ve Hazineler
Razer’ın Basilisk V3’ü