Projekt Google od nuly dáva technickým firmám dlhšiu dobu na opravu zraniteľností

Projekt Google od nuly dáva technickým firmám dlhšiu dobu na opravu zraniteľností

Google Project Zero, tím bezpečnostných expertov zamestnaných týmto vyhľadávacím gigantom, ktorý sa zameriava na hľadanie zraniteľností softvéru nultého dňa, aktualizoval svoje pokyny k odhaleniu zraniteľnosti.





Aktualizované zásady pridávajú k niektorým zverejneniam chýb zabezpečenia dodatočné 30-dňové okno. Predtým by vedci spoločnosti Google zverejnili podrobnosti o zraniteľnostiach vo svojom online nástroji na sledovanie chýb na konci 90-dňového okna alebo po opravení chyby.



ako sa zbaviť bloatwaru v systéme Windows 10

Dlhšie na opravu

Ďalší mesiac (približne) dáva predajcom aj používateľom trochu dlhší čas na vývoj, zdieľanie a inštaláciu potrebných opráv ich softvéru pred zdieľaním podrobností o zraniteľnosti online. Je to dobrá správa, pretože v okamihu, keď sú podrobnosti o zraniteľnosti zdieľané online, by ich mohli útočníci potenciálne vyzbrojiť.





Napriek tomu, že opravy boli najčastejšie vydávané v čase, keď sú zverejnené podrobnosti o zraniteľnosti, stále to závisí od toho, že si používatelia nainštalovali opravy sami. V niektorých prípadoch to môže byť časovo náročná úloha. 30 dní navyše od Googlu je preto dobrá správa.

„Cieľom našej aktualizácie politiky do roku 2021 je urobiť z časovej osi prijatia opravy explicitnú súčasť našich zásad zverejňovania zraniteľností,“ uviedol Tim Willis z projektu Zero Vendors. príspevok v blogu popis zmeny. 'Dodávatelia budú mať teraz 90 dní na vývoj opravy a ďalších 30 dní na prijatie opravy.'



Project Zero navyše predlžuje extra 30-dňovú ochrannú lehotu na zraniteľnosti nultého dňa ktoré sú aktívne zneužívané proti používateľom vo voľnej prírode. Aj keď je lehota na zverejnenie opravy iba sedem dní, technické podrobnosti budú zverejnené iba 30 dní po oprave --- pokiaľ problém vyriešia vývojári. Ak nie, technické detaily budú okamžite zverejnené.

Tiež rozšírené na nulové zraniteľnosti dňa

Tieto nové pravidlá budú platiť pre rok 2021, aj keď veci sa môžu v budúcnosti opäť zmeniť. Ako poznamenáva blogový príspevok: „Našou prednosťou je vybrať si východiskový bod, ktorý môže väčšina dodávateľov dôsledne splniť, a potom postupne znižovať časové harmonogramy vývoja a prijímania opráv.“



Spraviť tieto druhy informácií správnym spôsobom je náročná práca, vyvážiť najlepšie záujmy používateľov a poskytnúť vývojárom dostatok času na vývoj a vydanie opravy. Ako si tím Project Zero jasne uvedomuje, je to oblasť, ktorá sa bude naďalej vylepšovať s vývojom opatrení v oblasti kybernetickej bezpečnosti a záplatovania.

ako odstrániť môj prepojený účet

Nateraz by ste však ťažko tvrdili, že bezpečnostní experti spoločnosti Google nerobia správne veci.



Obrazový kredit: Mitchell Luo/ Rozbaľte CC

zdieľam zdieľam Tweet E -mail Patch Tuesday spoločnosti Microsoft opravuje vykorisťovanie bez ďalších dní a ďalšie kritické chyby

Aktualizujte svoje systémy Windows, aby boli chránené pred kritickými chybami zabezpečenia.

Čítajte ďalej Súvisiace témy
  • Zabezpečenie
  • Tech News
  • Google
  • Kyber ochrana
O autorovi Luke Dormehl(180 publikovaných článkov)

Luke je fanúšikom Apple od polovice 90. rokov minulého storočia. Jeho hlavné záujmy súvisiace s technológiou sú inteligentné zariadenia a prienik medzi technológiou a slobodnými umeniami.

Viac od Luka Dormehla

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber