پروژه صفر گوگل قبل از افشای جزئیات خطاها بیشتر صبر می کند


مهلت 30 روزه برای سرعت بخشیدن به گسترش و تصویب اصلاحات طراحی شده است

تیم Google Project Zero اعلام کرده است که 30 روز قبل از افشای جزئیات فنی این آسیب پذیری در اختیار فروشندگان و شرکت ها قرار خواهد داد.

تیم ویلیس ، مدیر ارشد ، مهندسی امنیت در خدمه نخبگان شکار اشکالات گوگل.

پیش از این ، مطابق با سیاست افشای 2020 ، از زمان گزارش آسیب پذیری اولیه تا افشای اطلاعات جزئیات آن ، به ارائه دهندگان یک چرخه 90 روزه داده می شد ، در صورت اصلاح یا عدم رفع خطا ، افشاگری عمومی انجام می شد.

با این حال ، طبق سیاست جدید شناسایی آسیب پذیری ، توسعه دهندگان هنوز 90 روز فرصت دارند تا آسیب پذیری را برطرف کنند. با این حال ، پروژه صفر به آنها 30 روز قبل از انتشار جزئیات نقص ، به شرط رفع اشکال در آن دوره ، فرصت می دهد. همچنین هدف نهایی این است که به کاربران زمان کافی برای تعمیر سیستم های خود اختصاص دهیم.

بیشتر برای وصله

سیاست جدید شناسایی همچنین آسیب پذیری هایی را که به طور فعال در طبیعت مورد سو استفاده قرار می گیرند ، برطرف می کند. در حالی که قبلاً این کمبودها هفت روز پس از گزارش به طور خودکار شناسایی شده بود ، اکنون تأمین کنندگان می توانند سه روز مهلت را درخواست کنند. اگر این اشکال ظرف هفت روز برطرف شود ، پروژه صفر 30 روز منتظر می ماند تا جزئیات فنی در مورد نقص امنیتی را فاش کند.

ایده اصلی سیاست 2020 این بود که ارائه دهندگانی که می خواهند به مشتریان وقت بیشتری برای تعمیر سیستم های خود بدهند ، بر ارسال اصلاحات در چرخه 90 روزه تمرکز می کنند. با این حال ، همانطور که ویلیس اشاره کرد ، این چنین نبود و گفت که پروژه صفر “تغییر مهمی در مهلت های اصلاح اصلاحات مشاهده نکرده است.”

“هدف از به روزرسانی سیاست 2021 ما ایجاد جدول زمانی برای اتخاذ تنظیمات به بخشی صریح از سیاست تشخیص آسیب پذیری ما است. تامین کنندگان اکنون 90 روز برای توسعه وصله و 30 روز دیگر برای پذیرش وصله فرصت خواهند داشت. “

مدل جدید به دلیل ترس از اینکه انتقال به سیاست 30 + 60 خیلی سریع و مخرب تلقی شود ، به تصویب رسید. اما در آینده ، گوگل انتظار دارد که بتواند به طور مداوم زمان لازم برای توسعه و پیاده سازی اصلاحات را برای فروشندگان کاهش دهد.

حرکت به مدل 90 + 30 به ما امکان می دهد تا زمان مساوی برای وصله گذاری داشته باشیم ، بحث برانگیز در مورد سازش بین مهاجمان / مدافعان را کاهش دهیم و جزئیات فنی را به اشتراک بگذاریم ، در حالی که از کاهش زمان لازم برای تکمیل مصرف کنندگان حمایت می کنیم در معرض خطر خاص حملات ، “ویلیس نتیجه گیری کرد. پروژه صفر به این دلیل مشهور است عدد افشاگری های عالی رتبه؛ چند ماه پیش تیم گزارش ها من دارمتیبا طناب کهro-day تأثیرگذار کروم، پنجره ها آدوم سیب.



Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *