Project Zero tìm lỗ hổng đã tìm thấy Google khi kết thúc cả chỉ trích và khen ngợi, nhưng từ lâu đã có lo ngại về chính sách rất nhanh chóng tiết lộ chi tiết về các lỗ hổng đã được phát hiện.
Project Zero trước đây đã cho các nhà phát triển phần mềm cơ hội 90 ngày để sửa lỗi trước khi công khai. Chi tiết về các lỗ hổng cũng sẽ được công bố ngay khi bản sửa lỗi được phát hành. Cho năm 2020, Google đang thử một cái gì đó mới. Công ty sẽ chờ đủ 90 ngày trước khi tiết lộ lỗ hổng, bất kể lỗi được khắc phục khi nào.
Đối với một số nhà phát triển và chuyên gia bảo mật, ý tưởng xuất bản chi tiết về lỗ hổng ngay khi bản sửa lỗi được sản xuất được cho là một ý tưởng tồi. Rốt cuộc, chỉ vì một bản vá đã được phát hành, không có nghĩa là mọi người đã cài đặt nó.
Trong năm tới, Google cho biết họ sẽ thử nghiệm chính sách mới. Công ty có thể quyết định giữ cách làm việc mới, hoặc nó có thể trở lại với cách mọi thứ đã được.
Trong một bài đăng trên blog về sự thay đổi, Google giải thích:
Đối với các lỗ hổng được báo cáo bắt đầu từ tháng 1 1Năm 2020, chúng tôi đang thay đổi Chính sách công bố:Toàn bộ 90 ngày theo mặc định, bất kể lỗi được khắc phục khi nào.
Sửa một lỗi trong 20 ngày? Chúng tôi sẽ phát hành tất cả các chi tiết vào ngày 90.
Sửa một lỗi trong 90 ngày? Chúng tôi sẽ phát hành tất cả các chi tiết vào ngày 90.
Nếu có thỏa thuận chung giữa nhà cung cấp và Project Zero, báo cáo lỗi có thể được mở cho công chúng trước 90 ngày trôi qua. Ví dụ: một nhà cung cấp muốn đồng bộ hóa việc mở báo cáo theo dõi của chúng tôi với các ghi chú phát hành của họ để giảm thiểu sự nhầm lẫn và câu hỏi của người dùng.
Công ty tiếp tục giải thích suy nghĩ đằng sau sự thay đổi: "Chúng tôi muốn thực hiện các cuộc tấn công bằng cách khai thác zero-day tốn kém hơn. Chúng tôi thực hiện điều này qua lăng kính nghiên cứu lỗ hổng tấn công và bằng chứng về cách những kẻ tấn công thực sự hành xử. Điều này liên quan đến việc phát hiện và báo cáo số lượng lớn lỗ hổng bảo mật và qua kinh nghiệm của chúng tôi với công việc này, chúng tôi nhận ra rằng việc phát triển bản vá nhanh hơn và triển khai bản vá là rất quan trọng và là lĩnh vực để cải thiện ngành công nghiệp ".
Google cũng thừa nhận rằng đã có vấn đề với cách tiếp cận trước đó, cho biết:
Bảo mật người dùng cuối không cải thiện khi tìm thấy lỗi và nó không cải thiện khi sửa lỗi. Nó cải thiện một khi người dùng cuối nhận thức được lỗi và thường vá thiết bị của họ. Để kết thúc này, cải thiện việc áp dụng bản vá kịp thời là rất quan trọng để đảm bảo rằng người dùng thực sự có được lợi ích từ lỗi được sửa.
Tín dụng hình ảnh:Savvapanf Ảnh / Shutterstock
