Google Project Zero даст производителям еще 30 дней на внедрение патчей

Команда Google Project Zero обновила свои политики раскрытия уязвимостей, продолжая вносить улучшения, которые позволят эффективнее решать новые проблемы, появляющиеся по мере роста сообщества ИБ-специалистов.

Согласно обновленным политикам, Google Project Zero будет ждать 30 дней, прежде чем раскрывать технические подробности об уязвимости, которая была исправлена в 90-дневный или семидневный (для уязвимостей нулевого дня) срок. Это дополнительное время позволит установить исправление большему числу пользователей.

Ранее исследователи из Google Project Zero публиковали подробности об обнаруженных ими уязвимостях через 90 дней после уведомления производителя уязвимого ПО, независимо от того, успел ли он выпустить исправление. Тем не менее, уязвимости, не исправленные в течение 90 (7) дней, будут раскрываться как и раньше.

В прошлом году команда Google Project Zero начала обновлять свою политику раскрытия уязвимостей, уделяя особое внимание более быстрому и тщательному развертыванию исправлений, а также более эффективному их внедрению. Однако ее первая попытка достичь этих целей дала неоднозначные результаты.

«На практике, однако, мы не наблюдали значительного сдвига в сроках разработки исправлений и продолжали получать отзывы от поставщиков о том, что они обеспокоены публичным раскрытием технических подробностей об уязвимостях и эксплоитах до того, как большинство пользователей установят исправление. Другими словами, предполагаемые сроки внедрения исправления не были четко поняты», - пояснили представители команды.

В 2021 году Google Project Zero решила сделать «график распространения исправлений явной частью политики раскрытия уязвимостей», путем предоставления дополнительных 30 дней. Google считает новую политику 90+30 «небольшим отступлением» с точки зрения быстрого раскрытия технических деталей, но впредь планирует «постепенно сокращать сроки разработки и внедрения исправлений».