Google Project Zero, команда экспертов по безопасности, нанятая поисковым гигантом для поиска уязвимостей программного обеспечения нулевого дня, обновила свои правила раскрытия уязвимостей.

Обновленная политика добавляет дополнительное 30-дневное окно для раскрытия некоторых ошибок безопасности. До этого исследователи Google публиковали подробную информацию об уязвимостях в своем онлайн-трекере ошибок в конце 90-дневного периода или после исправления ошибки.

Дольше патчить

Дополнительный месяц (приблизительно) дает и поставщикам, и пользователям немного больше времени на разработку, совместное использование и установить необходимые исправления для своего программного обеспечения, прежде чем подробности об уязвимости будут опубликованы в Интернете. Это хорошая новость, поскольку с момента публикации сведений об уязвимостях в Интернете злоумышленники потенциально могут использовать их в качестве оружия.

Хотя патчи чаще всего выпускаются к моменту публикации подробностей об уязвимостях, это по-прежнему зависит от того, что пользователи сами установили патчи. В некоторых случаях это может занять много времени. Поэтому дополнительные 30 дней Google - хорошая новость.

«Цель обновления нашей политики до 2021 года - сделать график принятия исправлений явной частью нашей политики раскрытия уязвимостей», - сказал Тим Уиллис из Project Zero Vendors. Сообщение блога описывая изменение. «У поставщиков теперь будет 90 дней на разработку исправлений и еще 30 дней на принятие исправлений».

Project Zero дополнительно продлевает дополнительный 30-дневный льготный период до уязвимости нулевого дня которые активно используются против пользователей в дикой природе. Хотя крайний срок раскрытия информации составляет всего семь дней для исправления, технические подробности будут опубликованы только через 30 дней после исправления, если проблема будет исправлена ​​разработчиками. В противном случае технические подробности будут опубликованы немедленно.

Расширен до уязвимостей нулевого дня, тоже

Эти новые правила будут применяться к 2021 году, хотя в будущем все может снова измениться. Как отмечается в сообщении в блоге: «Мы предпочитаем выбрать отправную точку, которой может придерживаться большинство поставщиков, а затем постепенно сокращать сроки разработки и внедрения исправлений».

Правильное раскрытие такого рода информации - сложная задача, поскольку необходимо найти баланс между интересами пользователей и дать разработчикам достаточно времени для разработки и выпуска исправления. Как четко известно команде Project Zero, эта область будет и дальше изменяться по мере разработки мер кибербезопасности и исправлений.

Однако на данный момент вам будет трудно предположить, что эксперты по безопасности Google поступают неправильно.

Кредит изображения: Митчелл Луо /Unsplash CC

Электронное письмо
Вторник исправлений Microsoft исправляет уязвимости нулевого дня и другие критические ошибки

Обновите свои системы Windows, чтобы защититься от критических уязвимостей.

Читать далее

Похожие темы
  • Новости техники
  • Google
  • Кибербезопасность
Об авторе
Люк Дормель (Опубликовано 128 статей)

Люк был поклонником Apple с середины 1990-х годов. Его основные интересы, связанные с технологиями, - это умные устройства и пересечение технологий и гуманитарных наук.

Ещё от Luke Dormehl

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.

.