Project Zero на Google дава на техническите фирми по -дълго време за отстраняване на уязвимости

Project Zero на Google дава на техническите фирми по -дълго време за отстраняване на уязвимости

Google Project Zero, екип от експерти по сигурността, наети от гиганта за търсене, който има за цел да открие софтуерни уязвимости за нулев ден, актуализира своите насоки за разкриване на уязвимости.





Актуализираната политика добавя допълнителен 30-дневен прозорец към някои разкрития на грешки в сигурността. Преди това изследователите на Google щяха да публикуват подробности за уязвимостите в своя онлайн тракер за грешки в края на 90-дневен прозорец или след като бъгът беше закърпен.



Windows 10 няма да стартира в безопасен режим

По -дълго до Patch

Допълнителният месец (приблизително) дава както на доставчиците, така и на потребителите малко повече време за разработване, споделяне и инсталиране на необходимите кръпки за техния софтуер, преди да се споделят подробности за уязвимостта онлайн. Това е добра новина, тъй като в момента, в който подробностите за уязвимостта се споделят онлайн, те потенциално могат да бъдат оръжейни от нападателите.



Въпреки че най -често кръпките са пускани до момента, в който се публикуват подробности за уязвимостта, това все още разчита на потребителите, които са инсталирали самите кръпки. В някои случаи това може да бъде времеемка задача. Поради това допълнителните 30 дни на Google са добра новина.

„Целта на нашата актуализация на политиката за 2021 г. е да превърнем графика на приемане на кръпка в явна част от нашата политика за разкриване на уязвимости“, каза Тим Уилис от Project Zero Vendors в блог пост описвайки промяната. „Доставчиците вече ще имат 90 дни за разработване на кръпки и още 30 дни за приемане на кръпки.“



Project Zero допълнително удължава допълнителния 30-дневен гратисен период до нулеви ден уязвимости които се експлоатират активно срещу потребителите в природата. Докато крайният срок за разкриване е само седем дни за поправяне, техническите подробности ще бъдат публикувани само 30 дни след поправката --- стига проблемът да бъде отстранен от разработчиците. Ако не, техническите подробности ще бъдат публикувани незабавно.

Разширено до уязвимости от нулев ден

Тези нови правила ще важат за 2021 г., въпреки че нещата могат да се променят отново в бъдеще. Както се отбелязва в публикацията в блога: „Нашето предпочитание е да изберем начална точка, която да може да бъде последователно постигната от повечето доставчици, и след това постепенно да намалим както сроковете за разработка на кръпки, така и за приемане на кръпки.“



Осигуряването на този вид разкриване на информация е трудна работа, балансирайки най -добрите интереси на потребителите с предоставяне на разработчиците достатъчно време за разработване и пускане на кръпка. Както екипът на Project Zero е ясно наясно, това е област, която ще продължи да се променя с развитието на киберсигурността и мерките за закърпване.

вмъкване на хоризонтална линия в word

Засега обаче ще ви бъде трудно да предположите, че експертите по сигурността на Google не постъпват правилно.



Кредит на изображението: Мичъл Луо/ Unsplash CC

Дял Дял Туит електронна поща Патчът на Microsoft във вторник коригира експлоатация на нула дни и други критични грешки

Актуализирайте своите системи Windows, за да се предпазите от критичните уязвимости.

Прочетете Напред Свързани теми
  • Сигурност
  • Технически новини
  • Google
  • Кибер защита
За автора Лука Дормел(180 статии са публикувани)

Люк е фен на Apple от средата на 90-те години. Основните му интереси, свързани с технологиите, са интелигентните устройства и пресечната точка между технологиите и свободните изкуства.

Още от Luke Dormehl

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате