Project Zero là một nhóm của Google có nhiệm vụ tìm ra các lỗ hổng bảo mật và báo cáo chúng cho các nhà sản xuất. Không phải không có tranh cãi do thỉnh thoảng xuất bản chi tiết về các lỗ hổng trước khi có bản vá. Vì vậy, Project Zero sẽ thêm một khoảng thời gian vào khoảng thời gian tiết lộ của nó.
Theo quy định cũ, các nhà cung cấp phần mềm có 90 ngày để phát hành bản vá kể từ khi Google tiết lộ lỗ hổng cho nhà cung cấp. Dù có xảy ra hay không, nó sẽ tiết lộ lỗ hổng zero-day cho công chúng, thường là với đủ chi tiết để một kẻ xấu có thể sử dụng thông tin để tạo ra các vụ lợi dụng. Cuối cùng, Google đã thêm một thời gian gia hạn tùy chọn mà nhà cung cấp phần mềm có thể yêu cầu nếu bản vá sắp hoàn thành.
Những người chỉ trích cho rằng thời hạn khó khiến công chúng gặp rủi ro nếu công ty đang tích cực tìm ra giải pháp, nhưng vấn đề phức tạp đến mức không thể giải quyết trong 90 ngày. Những người khác chỉ ra rằng một số công ty có thể không muốn tạo một bản vá mà không có cửa sổ cứng. Áp lực công khai giúp thuyết phục nhà cung cấp phần mềm hành động ở những nơi mà họ có thể không làm.
Việc tìm kiếm điểm trung gian đó là một phần khó khăn và Google cho biết họ sẽ thực hiện các điều chỉnh để giải quyết các mối quan tâm từ cộng đồng bảo mật rộng lớn hơn. Vào năm 2021, nó sẽ đợi thêm 30 ngày để tiết lộ chi tiết về lỗ hổng bảo mật nếu một nhà cung cấp phát hành bản vá trước khi cửa sổ 90 kết thúc. Ý tưởng là cung cấp cho người dùng thời gian để cài đặt các bản cập nhật và bảo vệ chúng. Tuy nhiên, nếu nhà cung cấp yêu cầu thời hạn gia hạn, thời hạn đó sẽ được đưa vào thời hạn cập nhật 30 ngày.
Đó là đối với trường hợp Google không phát hiện ra lỗ hổng bảo mật đang bị lạm dụng tích cực. Trước khi điều đó xảy ra, Google đã tiết lộ chi tiết đầy đủ trong vòng bảy ngày kể từ ngày thông báo. Trong tương lai, nó sẽ tiết lộ lỗ hổng bảo mật sau bảy ngày nhưng chờ công bố chi tiết kỹ thuật trong 30 ngày nữa.
Tất cả những điều đó chỉ áp dụng đến năm 2021 vì vào năm tới, Google có kế hoạch rút ngắn tất cả windows khinh bỉ. Bắt đầu từ năm 2022, Project Zero sẽ chuyển sang mô hình “84 + 28” — 84 ngày để tiết lộ, cộng thêm 28 ngày nữa để có đầy đủ thông tin chi tiết. Project Zero hy vọng rằng việc rút ngắn windows sẽ khuyến khích phát triển bản vá nhanh hơn. Nó cũng gợi ý rằng việc chuyển sang các ngày chia hết cho bảy sẽ giảm nguy cơ thời hạn rơi vào cuối tuần — khi các nhà cung cấp phần mềm thường có nhiều ngày nghỉ.
Nguồn: Project Zero
