Lazít a bugok publikálásának feltételein a Google biztonsági csapata
A Project Zero már minden esetben vár 90 napot, mielőtt egy hiba részleteit közzétenné.
Lazít a felfedezett biztonsági rések szigorú publikálási feltételein a Google Project Zero csapata, hogy több időt adjon a felhasználóknak az egyes bugokhoz érkező patch-ek telepítésére.
A biztonsági csapat, egy sérülékenység elcsípését követően 90 napot ad az adott szolgáltatás vagy egyéb szoftver fejlesztőinek, hogy befoltozzák azt. Amennyiben a javítás nem készül el a kijelölt időn belül, a cég publikálja a hiba részleteit - eddigi gyakorlata szerint pedig, ha a patch a határidő előtt jelenik meg, a Project Zero is előbb teszi közzé a bug leírását, közvetlenül a javítás kiadását követően. Ez ugyanakkor, mint a Google is ráébredt, a felhasználók szempontjából nem túl barátságos gyakorlat, hiszen egyáltalán nem hagy időt a patch telepítésére, mielőtt potenciálisan rosszindulatú felek is hozzáférhetnének a szóban forgó sebezhetőség műszaki részleteihez, és elkezdhetnénk kiaknázni azt.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Miután a patch-ek telepítés nélkül nem sokat érnek, a Google kissé lazít a feszes tempón, és minden alkalommal megvárja a teljes 90 napot a sérülékenységek adatainak publikálásával, még akkor is, ha a javítás a hiba jelentését követően 1-2 napon belül megérkezik. Akadnak ugyanakkor kivételek, ha a Google arról az adott patch-ért felelős céggel megegyezésre jut, a határidő lejárta előtt is közzéteheti a hibát - de a 90 nap meghosszabbítására is lehetőség van további két héttel, ha a javítást az adott vállalat erőfeszítései dacára nem sikerül időben elkészíteni. Az aktívan kihasznált sebezhetőségek javítására továbbra is egy hetet ad a keresőóriás.
A Google reményei szerint az intézkedéssel egyrészt a felhasználókat érintő biztonsági kockázatok is csökkenthetők, másrészt az érintett fejlesztők számára nyitva hagyja az iteratív patch-ek kiadásának lehetőségét, amelyekkel sokkal alaposabban orvosolhatnak egy-egy sérülékenységet. A csapat az új modellt idén próbaképpen vezeti be, ha pedig az sikeresnek bizonyul, a későbbiekben is megtartja. A Project Zero mindenesetre az eddigi felállással is elégedett, ahogy a csapat rámutat, a kezdeményezés 2014-es rajtjakor sok esetében fél év is kevés volt egy-egy hiba befoltozására, mára azonban a jelentett bugokat az esetek 97,7 százalékában befoltozzák a határidő lejárta előtt.