أصبح مشروع Google Zero
يقوم فريق الأمن الإلكتروني في Google Project Project Zero بتجربة سياسة جديدة حيث لن تجعل الثغرات الأمنية عامة في وقت مبكر بعد إصدار الإصلاح. “90 يوما كاملة افتراضيا ، بغض النظر عن عندما يتم إصلاح الخلل” ، هي سياسة الفريق الجديدة ، والتي سوف تجرب لمدة عام قبل أن تقرر ما إذا كان سيتم اعتمادها بشكل دائم.
بموجب النظام القديم ، سيمنح باحثو Project Zero البائعين لمدة 90 يومًا لإصلاح مشكلة قبل الإعلان عن المشكلة. ومع ذلك ، إذا تم إصدار تصحيح في غضون 90 يومًا ، فسيكشف عن الثغرة المبكرة. قد يكون ذلك مشكلة ، لأنه يعني أن على المستخدمين الإسراع في تصحيح الثغرة الأمنية قبل أن يتمكن المتسللون من استغلالها. قد يتم إصلاح ثغرة أمنية من قبل الشركة ، ولكن هذا لا يهم إذا لم يتم اعتماد التصحيح على نطاق واسع.يكون المستخدمون آمنين فقط بمجرد تثبيت التصحيح
لذلك الآن ، بغض النظر عما إذا كان قد تم إصدار تصحيح ما بعد 20 يومًا أو 90 يومًا من إطلاع Project Zero على البائع بالمشكلة ، سيستمر الانتظار لمدة 90 يومًا لإعلان المشكلة على الملأ. هناك بعض الاستثناءات ، رغم ذلك. أحدهما عندما يكون هناك “اتفاق متبادل” بين الشركتين للكشف المبكر ، وقد يمتد Project Zero أيضًا الموعد النهائي لمدة 14 يومًا إذا كان البائع يستغرق وقتًا أطول لوضع التصحيح. سيبقى الموعد النهائي لسبعة أيام للثغرات الأمنية التي يتم استغلالها في البرية دون تغيير.
إلى جانب إعطاء تصحيحات وقتًا أكبر لتبنيها ، يقول Project Zero إنه يأمل في أن تعمل السياسة الجديدة على تحسين الاتساق ، مما يعطي البائعين فكرة أفضل عن وقت إعلان الثغرة الأمنية. كما تقول إنها حريصة على رؤية المزيد من التصحيحات التكرارية والشاملة التي تم إصدارها ، وذلك بفضل الوقت الذي سيكون لدى البائعين الآن بين التصحيح الذي تم إصداره في البداية والضعف الذي يعالجه يتم نشره على الملأ.
على الرغم من التغييرات ، يقول فريق Project Zero إنه سعيد على نطاق واسع بالكيفية التي عملت بها فترة الكشف حتى الآن. في عام 2014 ، عندما بدأ الفريق عمله ، يقول إن الأخطاء لم تكن ثابتة في بعض الأحيان بعد ستة أشهر من اكتشافها. الآن، من القضايا هو التعرف عليه ( من الذي هناك و كان كثير )، التي تقول انها مصححة 97.7 في المئة في الإطار الخاص 90 يوما.
