Googles Project Zero ger tekniska företag längre tid att åtgärda sårbarheter

Googles Project Zero ger tekniska företag längre tid att åtgärda sårbarheter

Google Project Zero, ett team av säkerhetsexperter anställda av sökjätten som jobbar med att söka efter nolldagars programvarusårbarheter, har uppdaterat sina riktlinjer för avslöjande av sårbarhet.





Den uppdaterade policyn lägger till ett extra 30-dagarsfönster till vissa säkerhetsfelavslöjanden. Innan detta skulle Google-forskare publicera detaljer om sårbarheter på sin buggtracker online i slutet av ett 90-dagarsfönster, eller efter att felet var korrigerat.



hur man överför program från en enhet till en annan

Längre att patcha

Den extra månaden (ungefär) ger både leverantörer och användare lite längre tid att utveckla, dela och installera nödvändiga patchar för deras programvara innan detaljer om sårbarheten delas online. Detta är goda nyheter eftersom sårbarhetsdetaljer delas online kan de eventuellt vapenas av angripare.





Även om patchar oftast har släppts med den punkten att sårbarhetsdetaljer publiceras, är det fortfarande beroende av att användare har installerat patchar själva. I vissa fall kan detta vara en tidskrävande uppgift. Googles 30 dagar extra är därför goda nyheter.

'Målet med vår policyuppdatering för 2021 är att göra tidslinjen för att anta korrigeringsfiler en tydlig del av vår policy för avslöjande av sårbarheter', säger Tim Willis från Project Zero Vendors i en blogginlägg beskriver förändringen. 'Leverantörer kommer nu att ha 90 dagar för patchutveckling och ytterligare 30 dagar för patch -adoption.'



Project Zero förlänger dessutom den extra 30-dagars fristperioden till noll -dagars sårbarheter som aktivt utnyttjas mot användare i det vilda. Medan avslöjningsfristen bara är sju dagar för patchar, kommer tekniska detaljer att publiceras endast 30 dagar efter korrigeringen --- så länge problemet är åtgärdat av utvecklare. Om inte, kommer tekniska detaljer att publiceras omedelbart.

Utökad till Zero Day -sårbarheter också

Dessa nya regler kommer att gälla för 2021, även om saker kan förändras igen i framtiden. Som blogginlägget konstaterar: 'Vår preferens är att välja en utgångspunkt som konsekvent kan mötas av de flesta leverantörer, och sedan gradvis sänka både patchutveckling och tidpunkt för antagande av patch.'



Att få den här typen av avslöjanden rätt är ett tufft jobb, balansera användarnas bästa med att ge utvecklare tillräckligt med tid att utveckla och släppa en patch. Som Project Zero -teamet är klart medvetet om är det ett område som kommer att fortsätta att justeras när cybersäkerhet och korrigeringsåtgärder utvecklas.

spelar inspelning av iphone -skärm in ljud

För närvarande är det dock svårt för dig att föreslå att Googles säkerhetsexperter inte gör rätt.



Bildkredit: Mitchell Luo/ Unsplash CC

Dela med sig Dela med sig Tweet E-post Microsofts Patch Tuesday fixar Zero-Day Exploit och andra kritiska buggar

Uppdatera dina Windows -system för att skydda mot de kritiska sårbarheterna.

Läs Nästa Relaterade ämnen
  • säkerhet
  • Tekniska nyheter
  • Google
  • Cybersäkerhet
Om författaren Luke Dormehl(180 artiklar publicerade)

Luke har varit ett Apple-fan sedan mitten av 1990-talet. Hans huvudsakliga intressen med teknik är smarta enheter och skärningspunkten mellan teknik och den liberala konsten.

Mer från Luke Dormehl

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera