Команда Google Project Zero змінює правила на 2021 рік: виробники ПЗ отримають додатковий час для того, щоб надіслати виправлення проблем безпеки .
Досі компанії мали 90 днів, щоб усунути вразливості та передати користувачам патчі. Після цього вся технічна інформація про помилку викладалась у відкритий доступ.
Тепер Project Zero надаватиме додаткові 30 днів. Тобто протягом 90 днів компанія усуває помилку, а ще 30 днів користувачі встановлюють патчі — і лише тоді розголошуються деталі. Втім, це можна зробити і раніше, якщо обидві сторони погодяться.
Якщо вразливість активно експлуатується на пристроях користувачів, компанії мають 7 днів на виправлення. Тоді технічні деталі опублікують або одразу (коли усунути баг не вдалось), або через 30 днів після виправлення.
Також виробники ПЗ можуть попросити про додаткові 14 або 3 дні (залежно від типу вразливості), протягом яких Project Zero не розголошуватиме інформацію про проблему.
У 2022 році команда Project Zero планує перейти на модель «84+28» замість «90+30». Раніше дослідники казали, що 95,8% помилок виправляються достроково. Однак виробники ПЗ скаржились, що технічні деталі й код для перевірки публікуються до того, як більшість користувачів встановили виправлення.
Ще немає коментарів