Googlov projekt Zero daje tehničnim podjetjem dlje časa za odpravljanje ranljivosti

Googlov projekt Zero daje tehničnim podjetjem dlje časa za odpravljanje ranljivosti

Google Project Zero, skupina varnostnih strokovnjakov, ki jih zaposluje iskalni gigant in iščejo ranljivosti programske opreme za nič dni, je posodobila smernice za razkritje ranljivosti.





Posodobljena politika dodaja 30-dnevno okno nekaterim razkritjem varnostnih napak. Pred tem bi Googlovi raziskovalci objavili podrobnosti o ranljivostih na svojem spletnem sledilniku napak ob koncu 90-dnevnega okna ali po popravku hrošča.



želite gledati in snemati televizijo v živo na svojem računalniku

Daljši do popravka

Dodaten mesec (približno) daje prodajalcem in uporabnikom nekaj dlje časa za razvoj, skupno rabo in namestitev potrebnih popravkov za njihovo programsko opremo, preden se podrobnosti o ranljivosti objavijo na spletu. To je dobra novica, saj bi jih lahko v trenutku, ko se podatki o ranljivosti objavijo na spletu, napadalci potencialno oborožili.





Čeprav so bili popravki najpogosteje objavljeni do objave podrobnosti o ranljivosti, je to še vedno odvisno od uporabnikov, ki so sami namestili popravke. V nekaterih primerih je to lahko dolgotrajna naloga. Googlovih dodatnih 30 dni je torej dobra novica.

'Cilj naše posodobitve politike za leto 2021 je, da časovni okvir za sprejetje popravkov postane izrecni del naše politike razkrivanja ranljivosti,' je dejal Tim Willis iz Project Zero Vendors v objava na blogu opisuje spremembo. 'Prodajalci bodo imeli na voljo 90 dni za razvoj popravkov in dodatnih 30 dni za sprejetje popravkov.'



Project Zero dodatno podaljšuje dodatno 30-dnevno obdobje odloga na ranljivosti nič dni ki se aktivno izkoriščajo proti uporabnikom v naravi. Čeprav je rok za razkritje le sedem dni za popravke, bodo tehnične podrobnosti objavljene le 30 dni po popravku-dokler razvijalci težavo odpravijo. V nasprotnem primeru bodo tehnične podrobnosti objavljene takoj.

Razširjeno tudi na ranljivosti na nič dni

Ta nova pravila bodo veljala za leto 2021, čeprav bi se v prihodnosti lahko stvari spet spremenile. Kot piše v objavi na spletnem dnevniku: 'Naša prednost je, da izberemo izhodišče, ki ga večina prodajalcev lahko dosledno upošteva, in nato postopoma znižujemo razvoj popravkov in časovne okvire sprejemanja popravkov.'



Pravilno razkritje tovrstnih podatkov je težko delo, ki uravnoteži najboljše interese uporabnikov in daje razvijalcem dovolj časa za razvoj in izdajo popravka. Kot se ekipa Project Zero zaveda, je to področje, ki se bo z razvojem kibernetske varnosti in popravkov še naprej spreminjalo.

kako spremeniti geslo na xbox one

Zaenkrat pa bi težko predlagali, da Googlovi varnostni strokovnjaki ne ravnajo pravilno.



Avtor slike: Mitchell Luo/ Unsplash CC

Deliti Deliti Cvrkutati E-naslov Microsoftov popravek v torek odpravlja zlorabo nič in druge kritične napake

Posodobite sisteme Windows za zaščito pred kritičnimi ranljivostmi.

Preberite Naprej Sorodne teme
  • Varnost
  • Tehnične novice
  • Google
  • Spletna varnost
O avtorju Luke Dormehl(180 objavljenih člankov)

Luke je oboževalec Applea od sredine devetdesetih let. Njegovi glavni interesi v zvezi s tehnologijo so pametne naprave in stičišče med tehnologijo in svobodno umetnostjo.

Več od Luke Dormehla

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite