Google Project Zero, tim sigurnosnih stručnjaka koji su zaposleni u pretraživačkom gigantu i rade na lovu na softverske ranjivosti nula dana, ažurirao je svoje smjernice za otkrivanje ranjivosti.

Ažurirana pravila dodaju dodatni rok od 30 dana za neka otkrivanja sigurnosnih pogrešaka. Prije toga, Googleovi bi istraživači objavljivali pojedinosti o ranjivostima na svom mrežnom tragaču za greškama na kraju 90-dnevnog prozora ili nakon ispravljanja greške.

Duže za krpanje

Dodatni mjesec (približno) daje dobavljačima i korisnicima nešto više vremena za razvoj, dijeljenje i instalirajte potrebne zakrpe za svoj softver prije nego što se detalji o ranjivosti podijele na mreži. To su dobre vijesti jer bi napadači, u trenutku kada se detalji o ranjivosti podijele na mreži, mogli biti oružani.

Iako su zakrpe najčešće objavljene po tome što se objavljuju detalji o ranjivosti, to se i dalje oslanja na korisnike koji su sami instalirali zakrpe. U nekim slučajevima to može biti dugotrajan zadatak. Googleovih dodatnih 30 dana stoga su dobre vijesti.

instagram viewer

"Cilj našeg ažuriranja politike za 2021. godinu je učiniti vremenski raspored usvajanja zakrpa eksplicitnim dijelom naše politike otkrivanja ranjivosti", rekao je Tim Willis iz Project Zero Vendors u post na blogu opisujući promjenu. "Dobavljači će sada imati 90 dana za razvoj zakrpe i dodatnih 30 dana za usvajanje zakrpa."

Project Zero dodatno produžava dodatni 30-dnevni poček na ranjivosti nula dana koji se aktivno iskorištavaju protiv korisnika u divljini. Iako je rok za otkrivanje samo sedam dana za popravak, tehnički detalji bit će objavljeni samo 30 dana nakon popravka sve dok problem riješe programeri. Ako nisu, tehnički detalji bit će odmah objavljeni.

Prošireno i na ranjivosti nultih dana

Ova nova pravila primjenjivat će se za 2021. godinu, iako bi se stvari mogle ponovno promijeniti u budućnosti. Kao što zapis u blogu napominje: "Naša je želja odabrati polaznu točku koju može dosljedno ispuniti većina dobavljača, a zatim postupno smanjivati ​​vremenske okvire za razvoj zakrpa i usvajanje zakrpa."

Ispraviti ove vrste otkrivanja težak je posao, uravnotežujući najbolje interese korisnika dajući programerima dovoljno vremena da razviju i puste zakrpu. Kako je tim Project Zero jasno svjestan, to je područje koje će se i dalje dotjerivati ​​kako se budu razvijale mjere cyber sigurnosti i krpanja.

Za sada biste, međutim, teško mogli pretpostaviti da Googleovi sigurnosni stručnjaci ne rade ispravno.

Zasluga za sliku: Mitchell Luo /Unsplash CC

E-mail
Microsoftov zakrpa u utorak ispravlja Zero-day exploit i druge kritične greške

Ažurirajte svoje Windows sustave kako biste se zaštitili od kritičnih ranjivosti.

Pročitajte Dalje

Povezane teme
  • Tehničke vijesti
  • Google
  • Kibernetička sigurnost
O autoru
Luke Dormehla (Objavljeno 128 članaka)

Luke je ljubitelj Applea od sredine devedesetih. Njegov glavni interes koji uključuje tehnologiju su pametni uređaji i presjek između tehnologije i slobodnih umjetnosti.

Više od Luke Dormehla

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Još jedan korak…!

Molimo potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.

.