Google Project Zero, tým bezpečnostních odborníků zaměstnaných vyhledávacím gigantem, který má za úkol pátrat po slabých místech softwaru v nulový den, aktualizoval své pokyny pro zveřejňování zranitelností.

Aktualizovaná zásada přidává k některým zveřejněním chyb zabezpečení další 30denní okno. Před tím zveřejnili vědci Google podrobnosti o zranitelnostech ve svém online sledování chyb na konci 90denního okna nebo po opravě chyby.

Delší na opravu

Další měsíc (přibližně) dává prodejcům i uživatelům o něco delší dobu na vývoj, sdílení a před sdílením podrobností o chybě zabezpečení online nainstalujte potřebné opravy svého softwaru. To je dobrá zpráva, protože v okamžiku, kdy jsou podrobnosti o zranitelnosti sdíleny online, mohou být potenciálně útočníky vyzbrojeni.

Ačkoli opravy byly nejčastěji vydávány v okamžiku zveřejnění podrobností o chybě zabezpečení, stále se spoléhá na to, že uživatelé si opravy nainstalovali sami. V některých případech to může být časově náročný úkol. Dalších 30 dní Google je proto dobrá zpráva.

instagram viewer

„Cílem naší aktualizace zásad pro rok 2021 je, aby se časová osa přijetí opravy stala výslovnou součástí naší politiky zveřejňování zranitelností,“ uvedl Tim Willis z Project Zero Vendors v příspěvek na blogu popisující změnu. „Prodejci budou mít nyní 90 dní na vývoj opravy a dalších 30 dní na přijetí opravy.“

Project Zero navíc prodlužuje dodatečnou 30denní lhůtu na zranitelnosti nulového dne které jsou aktivně využívány proti uživatelům ve volné přírodě. Zatímco lhůta pro zveřejnění je pouze sedm dní pro opravu, technické podrobnosti budou zveřejněny až 30 dní po opravě, pokud bude problém vyřešen vývojáři. Pokud ne, technické podrobnosti budou okamžitě zveřejněny.

Rozšířeno také na Zero Day Zranitelnosti

Tato nová pravidla budou platit pro rok 2021, i když v budoucnu by se věci mohly změnit. Jak uvádí příspěvek na blogu: „Naší preferencí je vybrat si výchozí bod, který může většina dodavatelů trvale dodržovat, a poté postupně snižovat časovou osu pro vývoj a přijetí opravy.“

Zajistit správné zveřejnění těchto druhů informací je obtížná práce, která vyvažuje nejlepší zájmy uživatelů a poskytuje vývojářům dostatek času na vývoj a vydání opravy. Jak si tým Project Zero jasně uvědomuje, jde o oblast, která bude i nadále vyvíjena s rozvojem kybernetické bezpečnosti a opravných opatření.

Prozatím byste však tvrdě tvrdili, že bezpečnostní experti Google nedělají správnou věc.

Uznání obrázku: Mitchell Luo /Unsplash CC

E-mailem
Patch Tuesday společnosti Microsoft opravuje Zero-Day Exploit a další kritické chyby

Aktualizujte své systémy Windows tak, aby byly chráněny před kritickými chybami zabezpečení.

Přečtěte si další

Související témata
  • Tech News
  • Google
  • Kybernetická bezpečnost
O autorovi
Luke Dormehl (Publikováno 128 článků)

Luke je fanouškem Apple od poloviny 90. let. Mezi jeho hlavní zájmy týkající se technologií patří inteligentní zařízení a průnik mezi technologií a svobodným uměním.

Více od Luka Dormehla

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.