Google Project Zero, tím bezpečnostných expertov zamestnaných vyhľadávacím gigantom zameraným na hľadanie slabých stránok softvéru pre nultý deň, aktualizoval svoje pokyny na zverejňovanie zraniteľností.
Aktualizovaná politika pridáva k zverejneniu niektorých bezpečnostných chýb ďalšie 30-dňové okno. Predtým zverejnili vedci spoločnosti Google podrobnosti o chybách zabezpečenia na svojom online nástroji na sledovanie chýb na konci 90-dňového okna alebo po opravení chyby.
Dlhšie na Patch
Ďalší mesiac (približne) dáva predajcom aj používateľom o niečo dlhšie čas na vývoj, zdieľanie a zdieľanie nainštalujte potrebné opravy svojho softvéru skôr, ako sa podrobnosti o zraniteľnosti zdieľajú online. To je dobrá správa, pretože v okamihu, keď sú podrobnosti o zraniteľnosti zdieľané online, mohli by útočníci potenciálne byť vyzbrojení.
Aj keď sa opravy najčastejšie vydávajú až po zverejnení podrobností o chybe zabezpečenia, stále sa to spolieha na to, že si používatelia tieto opravy sami nainštalujú. V niektorých prípadoch to môže byť časovo náročná úloha. 30 dní navyše spoločnosti Google je preto dobrou správou.
„Cieľom našej aktualizácie politiky do roku 2021 je urobiť z časovej osi prijatia opravy výslovnú súčasť našej politiky zverejňovania zraniteľností,“ uviedol Tim Willis z Project Zero Vendors v príspevok v blogu popisujúcej zmenu. „Predajcovia budú mať teraz 90 dní na vývoj opravy a ďalších 30 dní na prijatie opravy.“
Project Zero navyše predlžuje 30-dňovú dodatočnú lehotu na zraniteľnosti nulového dňa ktoré sa aktívne využívajú proti používateľom vo voľnej prírode. Zatiaľ čo konečný termín zverejnenia je iba sedem dní na opravu, technické podrobnosti budú zverejnené až 30 dní po oprave, pokiaľ vývojári problém opravia. Ak nie, technické podrobnosti budú okamžite zverejnené.
Rozšírené aj na Zero Day zraniteľnosti
Tieto nové pravidlá budú platiť od roku 2021, aj keď v budúcnosti by sa veci mohli zmeniť. Ako sa uvádza v príspevku na blogu: „Našou preferenciou je zvoliť si východiskový bod, ktorý môže väčšina dodávateľov dôsledne dodržiavať, a potom postupne znižovať časové osi vývoja a prijatia opravy.“
Správne sprístupnenie týchto druhov informácií je náročná práca, vyváženie najlepšieho záujmu používateľov a poskytnutie dostatočného času vývojárom na vývoj a vydanie opravy. Ako si je tím Project Zero jasne vedomý, bude to oblasť, ktorá bude naďalej vylepšovaná, keď sa budú vyvíjať opatrenia v oblasti kybernetickej bezpečnosti a opráv.
Zatiaľ by ste však len ťažko tvrdili, že odborníci na bezpečnosť spoločnosti Google nerobia správne veci.
Image Credit: Mitchell Luo /Unsplash CC
Aktualizujte svoje systémy Windows tak, aby boli chránené pred kritickými chybami zabezpečenia.
Prečítajte si Ďalej
- Tech News
- Kyber ochrana
Luke je fanúšikom spoločnosti Apple od polovice 90. rokov. Medzi jeho hlavné záujmy týkajúce sa technológií patria inteligentné zariadenia a prienik medzi technológiou a slobodným umením.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.