Google Project Zero dává technickým firmám delší dobu k opravě chyb zabezpečení

Google Project Zero dává technickým firmám delší dobu k opravě chyb zabezpečení

Google Project Zero, tým bezpečnostních expertů zaměstnaných vyhledávacím gigantem za účelem hledání zranitelností softwaru nultého dne, aktualizoval své pokyny pro odhalení zranitelnosti.





Aktualizované zásady přidávají k některým zveřejněním chyb zabezpečení další 30denní okno. Předtím by vědci společnosti Google zveřejnili podrobnosti o zranitelnostech ve svém online sledovači chyb na konci 90denního okna nebo po opravě chyby.



jak nastínit slova ve Photoshopu

Delší na Patch

Další měsíc (přibližně) dává prodejcům i uživatelům o něco delší čas na vývoj, sdílení a instalaci nezbytných oprav jejich softwaru, než budou podrobnosti o chybě zabezpečení sdíleny online. Je to dobrá zpráva, protože v okamžiku, kdy jsou podrobnosti o zranitelnosti sdíleny online, by je potenciálně mohli ozbrojit útočníci.





Přestože opravy byly nejčastěji vydávány v okamžiku zveřejnění podrobností o zranitelnosti, stále to závisí na tom, že si uživatelé nainstalovali opravy sami. V některých případech to může být časově náročný úkol. 30 dní navíc od Googlu je tedy dobrá zpráva.

`` Cílem naší aktualizace zásad do roku 2021 je, aby se časová osa přijetí opravy stala explicitní součástí našich zásad zveřejňování zranitelností, 'uvedl Tim Willis z projektu Zero Vendors. blogový příspěvek popisující změnu. 'Prodejci budou mít nyní 90 dní na vývoj oprav a dalších 30 dní na přijetí oprav.'



Project Zero navíc prodlužuje 30denní dodatečnou lhůtu na zranitelnosti nultého dne které jsou aktivně zneužívány proti uživatelům ve volné přírodě. Zatímco lhůta pro zveřejnění je pouhých sedm dní na opravu, technické podrobnosti budou zveřejněny pouze 30 dní po opravě --- pokud problém vyřeší vývojáři. Pokud ne, technické detaily budou okamžitě zveřejněny.

Také rozšířeno na nulové denní chyby zabezpečení

Tato nová pravidla budou platit pro rok 2021, i když se věci mohou v budoucnu opět změnit. Jak uvádí příspěvek na blogu: „Naší prioritou je vybrat si výchozí bod, který může většina prodejců důsledně splňovat, a poté postupně snižovat časové harmonogramy vývoje a přijímání oprav.“



Zajistit správnost těchto druhů zveřejňování je náročná práce, vyvážit nejlepší zájmy uživatelů a poskytnout vývojářům dostatek času na vývoj a vydání opravy. Jak si tým Project Zero jasně uvědomuje, je to oblast, která bude i nadále vylepšována s rozvojem opatření v oblasti kybernetické bezpečnosti a oprav.

boot malina pi 3 z usb

Prozatím byste však těžko tvrdili, že bezpečnostní experti Googlu nedělají správnou věc.



Uznání: Mitchell Luo/ Unsplash CC

Podíl Podíl tweet E-mailem Patch Tuesday od Microsoftu opravuje exploze bez dalších dnů a další kritické chyby

Aktualizujte své systémy Windows tak, aby byly chráněny před kritickými chybami zabezpečení.

Číst dále Související témata
  • Bezpečnostní
  • Tech News
  • Google
  • Kybernetická bezpečnost
O autorovi Luke Dormehl(180 článků zveřejněno)

Luke je fanouškem Applu od poloviny 90. let. Jeho hlavní zájmy zahrnující technologii jsou chytrá zařízení a průnik mezi technikou a svobodnými uměními.

Více od Luka Dormehla

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru