Google Project Zero, zespół ekspertów ds. Bezpieczeństwa zatrudnionych przez giganta wyszukiwania, którego zadaniem jest poszukiwanie luk w zabezpieczeniach oprogramowania typu zero-day, zaktualizował swoje wytyczne dotyczące ujawniania luk w zabezpieczeniach.

Zaktualizowana polityka dodaje dodatkowe 30-dniowe okno do ujawnienia niektórych błędów bezpieczeństwa. Wcześniej badacze Google publikowali szczegółowe informacje o lukach w swoim internetowym narzędziu do śledzenia błędów pod koniec 90-dniowego okna lub po załataniu błędu.

Dłuższy do poprawienia

Dodatkowy miesiąc (w przybliżeniu) daje zarówno dostawcom, jak i użytkownikom nieco więcej czasu na tworzenie, udostępnianie i zainstalować niezbędne poprawki do swojego oprogramowania, zanim szczegóły luki zostaną udostępnione w Internecie. To dobra wiadomość, ponieważ w momencie udostępnienia w Internecie informacji o lukach w zabezpieczeniach mogą one zostać potencjalnie wykorzystane przez osoby atakujące.

Chociaż łaty są najczęściej wydawane do momentu opublikowania szczegółów dotyczących luk, nadal zależy to od użytkowników, którzy sami je zainstalowali. W niektórych przypadkach może to być czasochłonne zadanie. Dlatego dodatkowe 30 dni Google to dobra wiadomość.

instagram viewer

„Celem naszej aktualizacji zasad do 2021 r. Jest uczynienie harmonogramu wdrażania poprawek wyraźną częścią naszej polityki ujawniania luk w zabezpieczeniach” - powiedział Tim Willis z Project Zero Vendors w post na blogu opis zmiany. „Dostawcy będą teraz mieli 90 dni na opracowanie poprawek i dodatkowe 30 dni na ich przyjęcie”.

Project Zero dodatkowo wydłuża dodatkowy 30-dniowy okres karencji do luki dnia zerowego które są aktywnie wykorzystywane przeciwko użytkownikom w środowisku naturalnym. Chociaż termin ujawnienia aktualizacji to zaledwie siedem dni, szczegóły techniczne zostaną opublikowane dopiero 30 dni po wprowadzeniu poprawki, o ile problem zostanie rozwiązany przez programistów. Jeśli nie, szczegóły techniczne zostaną natychmiast opublikowane.

Rozszerzony do luk zero-dniowych, też

Te nowe zasady będą obowiązywać od 2021 r., Chociaż w przyszłości sytuacja może się ponownie zmienić. Jak zauważono we wpisie na blogu: „Preferujemy wybór punktu początkowego, który może być konsekwentnie spełniany przez większość dostawców, a następnie stopniowe skracanie czasu opracowywania i wdrażania poprawek”.

Prawidłowe ujawnienie tego rodzaju informacji jest trudnym zadaniem, ponieważ należy zachować równowagę między najlepszym interesem użytkowników a daniem programistom wystarczającej ilości czasu na opracowanie i wydanie łatki. Zespół Project Zero doskonale zdaje sobie sprawę, że jest to obszar, który będzie nadal modyfikowany wraz z rozwojem cyberbezpieczeństwa i środków łatania.

Na razie jednak trudno byłoby zasugerować, że eksperci Google ds. Bezpieczeństwa nie postępują właściwie.

Źródło: Mitchell Luo /Unsplash CC

E-mail
Wtorek poprawek Microsoftu naprawia exploita dnia zerowego i inne krytyczne błędy

Zaktualizuj swoje systemy Windows, aby chronić je przed krytycznymi lukami.

Czytaj dalej

Powiązane tematy
  • Wiadomości techniczne
  • Google
  • Bezpieczeństwo cybernetyczne
O autorze
Luke Dormehl (128 opublikowanych artykułów)

Luke jest fanem Apple od połowy lat 90. Jego główne zainteresowania związane z technologią to inteligentne urządzenia i skrzyżowanie technologii i sztuk wyzwolonych.

Więcej od dostawcy Luke Dormehl

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.

.