Новости Software

Google Project Zero меняет подход к раскрытию данных об уязвимостях

По сообщениям сетевых источников, в этом году команда исследователей Google Project Zero, которые работают в сфере информационной безопасности, изменит собственные правила, в соответствии с которыми данные об обнаруженных уязвимостях становятся общеизвестными.

В соответствии с новыми правилами, информация о найденных уязвимостях не будет обнародована до истечения 90-дневного срока. Независимо от того, когда разработчики решат проблему, представители Project Zero не станут раскрывать информацию о ней публично. Новые правила будут использоваться в течение этого года, после чего исследователи оценят целесообразность их внедрения на постоянной основе.

В прошлом исследователи из Project Zero давали разработчикам ПО 90 дней на устранение обнаруженных уязвимостей. Если же патч, исправляющий ошибки, выпускался раньше этого срока, то информация об уязвимости становилась общедоступной. Исследователи посчитали, что это неправильно, поскольку во многих случаях пользователям приходится спешить с установкой обновлений, чтобы не стать жертвой злоумышленников. Разработчик может устранить уязвимость, но это не имеет значения, если патч не успел получить широкого распространения.

Поэтому теперь, независимо от того, будет ли исправление выпущено через 20 или 90 дней после того, как Project Zero сообщит разработчику о проблеме, информация об уязвимости будет обнародована только через 90 дней. В правилах есть некоторые исключения. К примеру, если исследователи и разработчики придут к соглашению, время на устранение проблемы может быть продлено на 14 дней. Это возможно, если разработчикам ПО требуется больше времени на создание патча. Семидневный срок для устранения уязвимостей, которые уже используются злоумышленниками, останется неизменным.

Исследователи из Project Zero отмечают, что с момента начала их деятельности стала проводиться более качественная работа по устранению обнаруженных уязвимостей. Например, в 2014 году, когда проект только был образован, уязвимости иногда не устранялись даже через шесть месяцев после их обнаружения. В настоящее время 97,7 % обнаруженных уязвимостей устраняются разработчиками в течение 90-дневного периода.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Скайрим, деньги, два зелья: мать реддитора начала геймерский путь с TES V: Skyrim и основала там доходный бизнес 39 мин.
Режиссёру God of War Ragnarok пришлось сражаться за одноглазую белку 2 ч.
После перехода к Илону Маску Twitter потерял крупных рекламодателей и сотни миллионов долларов дохода 2 ч.
Internet Archive запустил браузерный эмулятор карманных компьютеров Palm из конца 90-х 3 ч.
Доверие бизнеса к российскому софту за два года выросло на 290 %, а к open source — вдвое 4 ч.
Binance выделила $1 миллиард на поддержку криптоиндустрии 14 ч.
Новая статья: Mario + Rabbids Sparks of Hope — ушастые спасают галактику. Рецензия 15 ч.
Состоялся релиз новой версии гиперконвергентной системы «Кибер Инфраструктура» 5.0 16 ч.
Раскрыта дата выхода обзоров хоррора The Callisto Protocol — издатель испугался журналистов? 18 ч.
Месячная аудитория отечественного магазина приложений RuStore превысила 7 млн человек 19 ч.
В Японии построят самый большой в мире плавучий ветрогенератор — размах лопастей составит 200 метров 13 мин.
Дефицит чипов заставил Jaguar Land Rover сократить производство некоторых моделей 22 мин.
Вышел индустриальный ПК SolidRun Bedrock V3000 Basic с двумя портами 10GbE SFP+ и поддержкой 5G 38 мин.
В разгонном блоке новой европейской ракеты-носителя Vega C нашли дефект — его разберут, а первый коммерческий запуск отложат 49 мин.
AirPods Pro 2 всё же не поддерживают lossless-кодеки, но это не помешало Apple улучшить качество звука 2 ч.
Илон Маск пообещал выпустить собственный смартфон, если Apple и Google удалят Twitter из магазинов приложений 4 ч.
Orion вышел на ретроградную орбиту Луны и установил рекорд по удалению от Земли для подобных космических кораблей 5 ч.
Xiaomi намерена продавать по 10 млн электромобилей в год 7 ч.
Эксперты Google подтвердили защищённость подводных интернет-кабелей от сильных солнечных бурь 14 ч.
Veon отказался от «Билайна», перевесив на него часть своих долгов 19 ч.