Google Project Zero sniedz tehnoloģiju uzņēmumiem ilgāku laiku, lai novērstu ievainojamības

Google Project Zero sniedz tehnoloģiju uzņēmumiem ilgāku laiku, lai novērstu ievainojamības

Google Project Zero, drošības ekspertu komanda, ko nodarbina meklēšanas gigants, lai atrastu nulles dienas programmatūras ievainojamības, ir atjauninājusi savas ievainojamības atklāšanas vadlīnijas.





Atjauninātā politika dažiem drošības kļūdu atklājumiem pievieno papildu 30 dienu periodu. Pirms tam Google pētnieki publicēja informāciju par ievainojamībām savā tiešsaistes kļūdu izsekotājā 90 dienu loga beigās vai pēc kļūdas labošanas.



konvertēt attēlu uz vektoru ilustratoru cc

Ilgāk līdz plāksterim

Papildu mēnesis (aptuveni) dod gan pārdevējiem, gan lietotājiem nedaudz ilgāku laiku, lai izstrādātu, koplietotu un instalētu programmatūrai nepieciešamos ielāpus, pirms informācija par ievainojamību tiek kopīgota tiešsaistē. Šī ir laba ziņa, jo brīdī, kad informācija par ievainojamību tiek kopīgota tiešsaistē, uzbrucēji, iespējams, tos var ieročot.





Lai gan ielāpi visbiežāk tika izlaisti līdz brīdim, kad tika publicēta informācija par ievainojamību, tas joprojām ir atkarīgs no tā, vai lietotāji paši ir instalējuši ielāpus. Dažos gadījumos tas var būt laikietilpīgs uzdevums. Tāpēc Google papildu 30 dienas ir labas ziņas.

'Mūsu 2021. gada politikas atjauninājuma mērķis ir padarīt plākstera pieņemšanas laika grafiku par mūsu neaizsargātības atklāšanas politikas skaidru daļu,' sacīja Tims Viliss no projekta Zero Vendors. emuāra ziņa aprakstot izmaiņas. 'Pārdevējiem tagad būs 90 dienas, lai izstrādātu plāksteri, un papildu 30 dienas, lai pieņemtu plāksteri.'



Projekts Zero papildus pagarina papildu 30 dienu labvēlības periodu nulles dienas ievainojamība kas tiek aktīvi izmantotas pret lietotājiem savvaļā. Lai gan informācijas atklāšanas termiņš ir tikai septiņas dienas labošanai, tehniskā informācija tiks publicēta tikai 30 dienas pēc labojuma, ja vien izstrādātāji būs novērsuši šo problēmu. Ja nē, tehniskā informācija tiks nekavējoties publicēta.

Arī uz nulles dienas ievainojamību

Šie jaunie noteikumi attieksies uz 2021. gadu, lai gan nākotnē lietas varētu atkal mainīties. Kā norādīts emuāra ierakstā: 'Mēs izvēlamies izvēlēties sākumpunktu, ko lielākā daļa pārdevēju var konsekventi ievērot, un pēc tam pakāpeniski samazināt gan ielāpu izstrādes, gan ielāpu pieņemšanas termiņus.'



Šāda veida informācijas atklāšana ir grūts darbs, līdzsvarojot lietotāju intereses un dodot izstrādātājiem pietiekami daudz laika, lai izstrādātu un izlaistu ielāpu. Kā Project Zero komanda skaidri apzinās, tā ir joma, kuru turpinās uzlabot, attīstoties kiberdrošības un lāpīšanas pasākumiem.

Google Play veikals neatjauninās lietotnes

Tomēr pagaidām jums būtu grūti ieteikt, ka Google drošības eksperti nerīkojas pareizi.



Attēlu kredīts: Mitchell Luo/ Atvienojiet CC

Kopīgot Kopīgot Čivināt E -pasts Microsoft Patch otrdiena novērš nulles dienas ekspluatāciju un citas kritiskas kļūdas

Atjauniniet savas Windows sistēmas, lai aizsargātu pret kritiskajām ievainojamībām.

Lasīt Tālāk Saistītās tēmas
  • Drošība
  • Tehniskās ziņas
  • Google
  • Kiberdrošība
Par autoru Lūks Dormehls(Publicēti 180 raksti)

Lūks ir Apple fans kopš deviņdesmito gadu vidus. Viņa galvenās intereses saistībā ar tehnoloģijām ir viedierīces un tehnoloģiju un brīvās mākslas krustojums.

Vairāk no Lūka Dormela

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai iegūtu tehniskus padomus, pārskatus, bezmaksas e -grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu