Tým zabezpečení společnosti Google Project Zero bude nyní čekat 90 dní na odhalení všech zranitelných míst, která najdou

Project Zero je bezpečnostní divize zaměstnaná společností Google, která byla založená v 2014. Primárním posláním týmu je odhalit zranitelnosti v nultý den - to znamená zranitelnosti, které jsou neznámé (nebo neřešené) stranou, která by měla mít zájem o její zmírnění. „Heartbleed“ je jeden takový nulový den vykořisťovat, které byly soukromě hlášeny dvěma samostatnými bezpečnostními týmy OpenSSL. Jeden z těchto bezpečnostních týmů operoval pod Google a nakonec vedl k vytvoření Project Zero. Chyba byla objevena v dubnu 2014, o několik dní později byla vydána verze OpenSSL s opravou chyby spolu s úplným odhalením chyby. Toto úplné zveřejnění znamenalo, že systémy, které nebyly okamžitě aktualizovány, byly ohroženy, i když to obecně slouží jako motivace pro týmy vývojářů k aktualizaci softwaru.

Od té doby funguje projekt Google Zero podobným způsobem. Když je objevena chyba nulového dne, tým ji soukromě nahlásí kterékoli společnosti, která vlastní software. Od data zveřejnění má společnost 90 dní na opravu chyby. Pokud to opraví před dokončením 90denního okna, Google zveřejní podrobnosti o této chybě zabezpečení. Pokud 90 dnů uplyne, aniž by byla opravena, tým tuto chybu zabezpečení přesto uvolní, jejímž cílem je upozornit uživatele na problémy, které software může mít, a zároveň potenciálně motivovat společnost k rychlejší práci. Existuje jedna chyba, kterou dodavatelé vnímají v tomto systému, a stejně jako u Heartbleed je to, že uživatelé (nebo vývojáři) nemusí být schopni upgradovat své systémy dostatečně rychle, než se stanou obětí vykořisťování. Z tohoto důvodu tým Project Zero oznámil, že na rok čekají 90 dní na čekání, bez ohledu na to, jak rychle (nebo pomalu) je zranitelnost opravena.

Zásady společnosti Google zveřejňovat chyby do 7 dnů, pokud zjistí, že chyba je zneužita ve volné přírodě, nejsou ovlivněny. Ve stejném blogovém příspěvku tým Project Zero také oznámil řadu dalších drobných změn. Společnost Google s potěšením oznamuje, že 97.7% všech problémů, které zjistí, je opraveno v 90denním okně. Níže si můžete přečíst celý blogový příspěvek.

Zdroj: Google Project Zero

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.