Project Zero будет выжидать 90 дней перед раскрытием уязвимостей, чтобы повысить эффективность патчей

image

Проект Google по раскрытию уязвимостей Project Zero изменит политику их раскрытия. С этого года информация будет публиковаться только через 90 дней, даже если патч вышел ранее этого срока. Эта мера направлена на повышение качества исправлений, поскольку многие производители ПО стремятся как можно скорее выпустить их, но в итоге такие патчи малоэффективны.

Таким образом, 90-дневный срок позволит разработчикам получить больше времени на распространение исправления и убедиться, что оно эффективно устраняет причину проблемы.

Если же разработка выпустила неэффективный патч, то ее уведомят об этом, а информация о неэффективности исправления будет добавлена в существующий отчет об уязвимости. Предусмотрено также, что некоторые неэффективные исправления будут рассматриваться как отдельная проблема, исправить которую нужно в установленные сроки.

Новые правила будут тестировать в течение всего 2020 года, и по итогам примут окончательно.

Ранее Project Zero также давал разработчикам 90 дней на устранение обнаруженных уязвимостей, но, если патч выходил раньше этого срока, то информация об уязвимости публиковалась в широком доступе. Как отметили в проекте, с момента его запуска в 2014 году процент и исправленных за 90 дней уязвимостей достиг 97,7%.

В мае прошлого года Project Zero запустила проект под названием 0-Day «In the Wild», который позволит отслеживать уязвимости т.н. нулевого дня, для которых не существует патча.
Задача состоит в том, чтобы «сделать 0-day более сложными», то есть сделать более затратным обнаружение и использование уязвимостей безопасности злоумышленниками. В первую очередь это достигается за счет проведения собственных исследований безопасности. Также специалисты изучают внешние случаи эксплуатации уязвимостей нулевого дня, которые были обнаружены «in the wild». Эти случаи дают представление о поведении и возможностях злоумышленника в реальном мире.

В сентябре фирма Zerodium, которая специализируется на покупке и перепродаже уязвимостей нулевого дня, обновила свой прайс-лист в дату официального релиза Android 10. Выяснилось, что на рынке перепродажи эксплойтов теперь больше ценятся «дыры» в Android, а не iOS, это случилось впервые в истории IT и ИБ. Эксперты отметили, что этому послужила, в том числе, и плодотворная работа Project Zero.

См. также: «История одного патча Apple»

© Habrahabr.ru