Maghahintay ngayon ang 90 na koponan ng seguridad ng Project Zero ng XNUMX araw upang ibunyag ang anumang mga kahinaan na nahanap nila

Ang Project Zero ay isang security division na ginagamit ng Google, kung saan itinatag sa 2014. Pangunahing misyon ng koponan ay upang matuklasan ang mga zero na araw na kahinaan - iyon ay, kahinaan na hindi kilala (o hindi pinapahiwatig) ng partido na dapat maging interesado sa pag-iwas nito. "Puso ng loob" ay isang tulad na zero-day na pagsasamantala, na kung saan ay pribadong naiulat ng dalawang magkahiwalay na mga pangkat ng seguridad sa OpenSSL. Ang isa sa mga pangkat ng seguridad na ito ay nagpapatakbo sa ilalim ng Google at sa kalaunan ay humantong sa paglikha ng Project Zero. Natuklasan ang bug noong Abril ng 2014, ang isang build ng OpenSSL kasama ang pag-aayos ng bug ay pinakawalan ng ilang araw kasabay ng buong pagsisiwalat ng bug. Ang buong pagsisiwalat na ito ay nangangahulugang ang mga system na hindi na-update kaagad ay nasa panganib, kahit na sa pangkalahatan ay nagsisilbing isang pagganyak para sa mga koponan ng developer na i-update ang kanilang software.

Simula noon, ang Project Zero ng Google ay nagtrabaho sa isang katulad na paraan. Kapag natuklasan ang isang zero-day bug, pribado ang iniulat ng koponan sa alinmang kumpanya ang nagmamay-ari ng software. Mula sa petsa ng pagsisiwalat, ang kumpanya ay may 90 araw upang ayusin ang bug. Kung ayusin nila ito bago kumpleto ang 90-araw na window, ilalabas ng Google ang mga detalye ng kahinaan. Kung ang 90 araw na lumipas nang hindi ito naayos, ang koponan ay magpapalabas ng kahinaan, na inilaan upang malaman ng mga gumagamit ang mga problema ng software na kanilang ginagamit, habang potensyal din na gumanyak sa kumpanya na mas mabilis na magtrabaho. Mayroong isang kapintasan na nakikita ng mga vendor sa sistemang ito, at tulad ng sa Heartbleed, na ang mga gumagamit (o mga developer) ay maaaring hindi mai-upgrade nang mabilis ang kanilang mga system bago maging biktima ng pagsasamantala. Para sa kadahilanang ito, inihayag ng koponan ng Project Zero na para sa taon, pinipilit nila ang paghihintay sa 90-araw kahit gaano kabilis (o mabagal) ang kahinaan ay naayos.

Ang patakaran ng Google ng paglalahad ng mga bug sa 7 araw kung nahanap nila ang katibayan na ang mga bug ay sinasamantala sa ligaw ay hindi maaapektuhan. Sa parehong post ng blog, ang koponan ng Project Zero ay inihayag din ng maraming iba pang mga maliit na pagbabago. Ipinagmamalaki din ng Google na ipahayag na 97.7% ng lahat ng mga isyu na kanilang natuklasan ay naayos sa loob ng 90-araw na window. Maaari mong basahin ang buong post sa blog sa ibaba.

Source: Google Project Zero

Mag-iwan ng Sagot

Ang iyong email address ay hindi ilalathala. Ang mga kailangang field ay may markang *