Googles Project Zero gir teknologifirmaer lengre tid til å fikse sårbarheter

Googles Project Zero gir teknologifirmaer lengre tid til å fikse sårbarheter

Google Project Zero, et team av sikkerhetseksperter ansatt i søkegiganten med jobben med å jakte på sårbarheter rundt programvaren, har oppdatert retningslinjene for avsløring av sårbarhet.





Den oppdaterte politikken legger til et ekstra 30-dagers vindu til noen sikkerhetsfeilopplysninger. Før dette ville Google-forskere publisere detaljer om sårbarheter på deres online bug tracker på slutten av et 90-dagers vindu, eller etter at feilen ble lappet.



hvordan låse opp harddisken mac

Lengre å lappe

Den ekstra måneden (omtrent) gir både leverandører og brukere litt lengre tid til å utvikle, dele og installere de nødvendige oppdateringene for programvaren før detaljer om sårbarheten deles online. Dette er gode nyheter siden øyeblikket sårbarhetsdetaljer deles på nettet, kan de potensielt være våpen av angripere.





Selv om oppdateringer oftest har blitt utgitt på det tidspunktet hvor sårbarhetsdetaljer blir publisert, er det fortsatt avhengig av at brukere har installert oppdateringene selv. I noen tilfeller kan dette være en tidkrevende oppgave. Googles ekstra 30 dager er derfor gode nyheter.

'Målet med vår policyoppdatering for 2021 er å gjøre tidslinjen for oppdatering av oppdateringer til en eksplisitt del av vår retningslinjer for avsløring av sårbarhet,' sa Tim Willis fra Project Zero Vendors i en blogg innlegg beskriver endringen. 'Leverandører vil nå ha 90 dager for oppdatering av oppdateringer, og ytterligere 30 dager for oppdatering av oppdateringer.'



Project Zero utvider i tillegg den ekstra 30-dagers avdragsfristen til null -dagers sårbarheter som aktivt utnyttes mot brukere i naturen. Selv om avsløringsfristen bare er syv dager for oppdatering, vil tekniske detaljer bare bli publisert 30 dager etter reparasjonen --- så lenge problemet er løst av utviklere. Hvis ikke, vil tekniske detaljer bli publisert umiddelbart.

Utvidet til Zero Day -sårbarheter også

Disse nye reglene vil gjelde for 2021, selv om ting kan endre seg igjen i fremtiden. Som blogginnlegget bemerker: 'Vår preferanse er å velge et utgangspunkt som konsekvent kan møtes av de fleste leverandører, og deretter gradvis senke både oppdatering og oppdatering av tidslinjer.'



Å få denne typen avsløringer riktig er en tøff jobb, og balanserer brukernes beste med å gi utviklere tilstrekkelig tid til å utvikle og slippe en oppdatering. Som Project Zero -teamet er klar over, er det et område som vil fortsette å bli justert etter hvert som cybersikkerhet og oppdateringstiltak utvikler seg.

hvordan kopiere lim inn uten formatering

For øyeblikket vil du imidlertid bli hardt presset til å foreslå at Googles sikkerhetseksperter ikke gjør det riktige.



Bildekreditt: Mitchell Luo/ Uplash CC

Dele Dele kvitring E -post Microsofts patch tirsdag fikser null-dagers utnyttelse og andre kritiske feil

Oppdater Windows -systemene dine for å beskytte mot de kritiske sårbarhetene.

Les neste Relaterte temaer
  • Sikkerhet
  • Tekniske nyheter
  • Google
  • Cybersikkerhet
Om forfatteren Luke Dormehl(180 artikler publisert)

Luke har vært en Apple-fan siden midten av 1990-tallet. Hans hovedinteresser som involverer teknologi er smarte enheter og skjæringspunktet mellom teknologi og liberal arts.

Mer fra Luke Dormehl

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere