Googleov projekt Zero daje tehničkim tvrtkama da duže popravljaju ranjivosti

Googleov projekt Zero daje tehničkim tvrtkama da duže popravljaju ranjivosti

Google Project Zero, tim sigurnosnih stručnjaka zaposlen u pretraživačkom divu koji ima zadatak loviti softverske ranjivosti nula dana, ažurirao je svoje smjernice za otkrivanje ranjivosti.





Ažurirano pravilo dodaje dodatni rok od 30 dana nekim otkrivanjima sigurnosnih grešaka. Prije toga, Googleovi će istraživači objaviti pojedinosti o ranjivostima na svom mrežnom alatu za praćenje grešaka na kraju 90-dnevnog prozora ili nakon što je greška zakrpljena.



Windows 10 neće se pokrenuti u sigurnom načinu rada

Dulje do zakrpe

Dodatni mjesec (otprilike) daje dobavljačima i korisnicima malo više vremena za razvoj, dijeljenje i instaliranje potrebnih zakrpa za svoj softver prije nego što se detalji ranjivosti podijele na internetu. Ovo je dobra vijest jer od trenutka kad se podaci o ranjivosti podijele na internetu, napadači bi ih mogli potencijalno naoružati.





Iako su zakrpe najčešće objavljivane do objave pojedinosti o ranjivosti, to se i dalje oslanja na korisnike koji su sami instalirali zakrpe. U nekim slučajevima to može biti dugotrajan zadatak. Googleovih dodatnih 30 dana stoga su dobra vijest.

'Cilj našeg ažuriranja politike za 2021. godinu je učiniti vremenski okvir usvajanja zakrpa eksplicitnim dijelom naše politike otkrivanja ranjivosti', rekao je Tim Willis iz Project Zero Vendors u blog post opisujući promjenu. 'Dobavljači će sada imati 90 dana za razvoj zakrpa i dodatnih 30 dana za usvajanje zakrpa.'



Project Zero dodatno produžuje dodatnih 30 dana počeka na ranjivosti nula dana koji se aktivno eksploatiraju protiv korisnika u divljini. Iako je rok za otkrivanje podataka samo sedam dana za zakrpe, tehnički detalji bit će objavljeni samo 30 dana nakon popravka --- sve dok programeri riješe problem. U protivnom će se odmah objaviti tehnički detalji.

Prošireno i na ranjivosti nula dana

Ova nova pravila primjenjivat će se za 2021., iako bi se stvari u budućnosti mogle ponovno promijeniti. Kao što stoji u blogu: 'Naša je želja odabrati početnu točku koju većina dobavljača može dosljedno zadovoljiti, a zatim postupno smanjivati ​​razvoj zakrpa i rokove usvajanja zakrpa.'



Ispraviti takve vrste otkrivanja je težak posao, uravnotežiti najbolje interese korisnika s davanjem programerima dovoljno vremena za razvoj i objavljivanje zakrpe. Kao što je timu Project Zero jasno poznato, to je područje koje će se nastaviti prilagođavati kako se razvijaju mjere kibernetičke sigurnosti i zakrpe.

kako otkazati paypal račun

Zasad bi vam bilo teško zaključiti da Googleovi sigurnosni stručnjaci ne rade ispravno.



Kredit za sliku: Mitchell Luo/ Unsplash CC

Udio Udio Cvrkut E -pošta Microsoftova zakrpa u utorak ispravlja zloupotrebu nula dana i druge kritične pogreške

Ažurirajte svoje Windows sustave radi zaštite od kritičnih ranjivosti.

Pročitajte Dalje Povezane teme
  • Sigurnost
  • Tehničke vijesti
  • Google
  • Kibernetička sigurnost
O autoru Luke Dormehl(180 objavljenih članaka)

Luke je obožavatelj Applea od sredine 1990-ih. Njegovi glavni interesi koji se odnose na tehnologiju su pametni uređaji i sjecište tehnologije i slobodnih umjetnosti.

Više od Luke Dormehla

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e -knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu