Google Project Zero, et team af sikkerhedseksperter, der er ansat af søgegiganten og har til opgave at finde nul dags softwareproblemer, har opdateret sine retningslinjer for offentliggørelse af sårbarheder.

Den opdaterede politik tilføjer et ekstra 30-dages vindue til nogle afsløringer af sikkerhedsfejl. Før dette ville Google-forskere offentliggøre detaljer om sårbarheder i deres online bug tracker i slutningen af ​​et 90-dages vindue, eller efter at fejlen blev patched.

Længere end patch

Den ekstra måned (ca.) giver både leverandører og brugere lidt længere tid at udvikle, dele og installer de nødvendige programrettelser til deres software, før detaljer om sårbarheden deles online. Dette er gode nyheder, da det øjeblik sårbarhedsoplysninger deles online, kan de potentielt blive våbenet af angribere.

Selvom programrettelser oftest er blevet frigivet, når sårbarhedsoplysninger offentliggøres, afhænger det stadig af, at brugere selv har installeret programrettelserne. I nogle tilfælde kan dette være en tidskrævende opgave. Googles ekstra 30 dage er derfor gode nyheder.

instagram viewer

"Målet med vores 2021-politikopdatering er at gøre patchlinjens tidslinje til en eksplicit del af vores politik for udsættelse af sårbarheder," sagde Tim Willis fra Project Zero Vendors i en blogindlæg beskriver ændringen. "Leverandører har nu 90 dage til patchudvikling og yderligere 30 dage til adoption af patch."

Project Zero udvider desuden den ekstra 30-dages afdragsperiode til nul dags sårbarheder der udnyttes aktivt mod brugere i naturen. Mens fristen for offentliggørelse kun er syv dage til patch, offentliggøres tekniske detaljer kun 30 dage efter rettelsen, så længe problemet er løst af udviklere. Hvis ikke, offentliggøres tekniske detaljer med det samme.

Udvidet til nul dags sårbarheder også

Disse nye regler gælder for 2021, skønt tingene kan ændre sig igen i fremtiden. Som blogindlægget bemærker: "Vores præference er at vælge et udgangspunkt, der konsekvent kan imødekommes af de fleste leverandører, og derefter gradvist sænke både patchudvikling og patch-adoptionslinjer."

Det er et hårdt job at få denne form for offentliggørelse rigtig og afveje brugernes interesser med at give udviklere tilstrækkelig tid til at udvikle og frigive en patch. Som Project Zero-teamet er klar over, er det et område, der fortsat vil blive justeret i takt med, at cybersikkerhed og patches udvikles.

For nu vil du dog være hårdt presset til at antyde, at Googles sikkerhedseksperter ikke gør det rigtige.

Billedkredit: Mitchell Luo /Uplash CC

E-mail
Microsofts patch-tirsdag løser nul-dagsudnyttelse og andre kritiske fejl

Opdater dine Windows-systemer for at beskytte mod kritiske sårbarheder.

Læs Næste

Relaterede emner
  • Tekniske nyheder
  • Google
  • Cybersikkerhed
Om forfatteren
Luke Dormehl (128 artikler offentliggjort)

Luke har været en Apple-fan siden midten af ​​1990'erne. Hans hovedinteresser, der involverer teknologi, er smarte enheder og krydset mellem teknologi og liberal arts.

Mere fra Luke Dormehl

Abonner på vores nyhedsbrev

Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!

Et trin mere !!!

Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.

.