Google Project Zero, drošības ekspertu komanda, kuru nodarbina meklēšanas gigants un kuras mērķis ir meklēt nulles dienas programmatūras ievainojamību, ir atjauninājusi ievainojamības atklāšanas vadlīnijas.

Atjauninātā politika dažām drošības kļūdu atklāšanām pievieno papildu 30 dienu periodu. Pirms tam 90 dienu loga beigās vai pēc kļūdas novēršanas Google pētnieki savā tiešsaistes kļūdu izsekotājā publicēja informāciju par ievainojamību.

Garāk ielāpīt

Papildu mēnesis (aptuveni) dod gan pārdevējiem, gan lietotājiem mazliet ilgāku laiku izstrādei, koplietošanai un instalējiet nepieciešamos programmatūras ielāpus, pirms tiešsaistē tiek kopīgota informācija par ievainojamību. Tā ir laba ziņa, jo brīdī, kad tiešsaistē tiek izplatīta informācija par ievainojamību, uzbrucēji tos var ieročot.

Lai gan ielāpus visbiežāk izlaiž līdz brīdim, kad tiek publicēta informācija par ievainojamību, tas joprojām ir atkarīgs no tā, vai lietotāji paši ir instalējuši ielāpus. Dažos gadījumos tas var būt laikietilpīgs uzdevums. Tāpēc Google papildu 30 dienas ir laba ziņa.

instagram viewer

"Mūsu 2021. gada politikas atjauninājuma mērķis ir padarīt plākstera ieviešanas grafiku par skaidru mūsu ievainojamības atklāšanas politikas daļu," Tims Viliss no Project Zero Vendors paziņoja emuāra ziņa aprakstot izmaiņas. "Pārdevējiem tagad būs 90 dienas plākstera izstrādei un vēl 30 dienas plākstera pieņemšanai."

Project Zero papildus pagarina papildu 30 dienu labvēlības periodu līdz nulles dienas ievainojamība kas tiek aktīvi izmantoti pret lietotājiem savvaļā. Kaut arī labošanas termiņš ir tikai septiņas dienas, tehniskā informācija tiks publicēta tikai 30 dienas pēc labojuma, kamēr problēmu novērsīs izstrādātāji. Ja nē, tehniskā informācija tiks nekavējoties publicēta.

Pārāk paplašināts līdz nulles dienas ievainojamībai

Šie jaunie noteikumi tiks piemēroti 2021. gadam, lai gan nākotnē lietas varētu atkal mainīties. Kā atzīmēts emuāra ziņojumā: "Mēs vēlamies izvēlēties sākuma punktu, kuru konsekventi var sasniegt vairums pārdevēju, un pēc tam pakāpeniski pazemināt gan plāksteru izstrādi, gan plāksteru ieviešanas termiņus."

Pareiza šāda veida informācijas atklāšana ir grūts darbs, līdzsvarojot lietotāju intereses un dodot izstrādātājiem pietiekami daudz laika plākstera izstrādei un izlaišanai. Tā kā Project Zero komanda skaidri zina, tā ir joma, kas turpinās uzlaboties, attīstoties kiberdrošības un labošanas pasākumiem.

Pagaidām gan jums būtu grūti spriest, ka Google drošības eksperti rīkojas nepareizi.

Attēlu kredīts: Mitchell Luo /Unsplash CC

E-pasts
Microsoft labojuma otrdiena novērš nulles dienas izmantošanu un citas kritiskas kļūdas

Atjauniniet Windows sistēmas, lai pasargātu no kritiskajām ievainojamībām.

Lasiet Tālāk

Saistītās tēmas
  • Tehniskās ziņas
  • Google
  • Kiberdrošība
Par autoru
Lūks Dormels (Publicēti 128 raksti)

Lūks ir Apple fans kopš 1990. gadu vidus. Viņa galvenās intereses, kas saistītas ar tehnoloģijām, ir viedierīces un krustpunkts starp tehnoloģiju un brīvo mākslu.

Vairāk no Lūka Dormela

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!

Vēl viens solis !!!

Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.

.