Googles Project Zero giver tech -virksomheder længere tid til at løse sårbarheder

Googles Project Zero giver tech -virksomheder længere tid til at løse sårbarheder

Google Project Zero, et team af sikkerhedseksperter, der er ansat af søgegiganten og har til opgave at jagte nul -dages softwaresårbarheder, har opdateret sine retningslinjer for udsendelse af sårbarhed.





Den opdaterede politik tilføjer et ekstra 30-dages vindue til nogle oplysninger om sikkerhedsfejl. Før dette ville Google-forskere offentliggøre oplysninger om sårbarheder på deres online fejltracker i slutningen af ​​et 90-dages vindue, eller efter at fejlen var lappet.



hvad leverer sim ikke mm#2

Længere til patch

Den ekstra måned (cirka) giver både leverandører og brugere lidt længere tid til at udvikle, dele og installere de nødvendige patches til deres software, før detaljer om sårbarheden deles online. Dette er gode nyheder, da det i det øjeblik sårbarhedsdetaljer deles online, kan de potentielt blive våbenudstyret af angribere.





Selvom patches oftest er blevet frigivet med det punkt, at sårbarhedsoplysninger udgives, afhænger det stadig af, at brugere selv har installeret patches. I nogle tilfælde kan dette være en tidskrævende opgave. Googles 30 ekstra dage er derfor gode nyheder.

'Målet med vores politikopdatering for 2021 er at gøre tidslinjen for vedtagelse af programrettelser til en eksplicit del af vores politik om offentliggørelse af sårbarhed,' siger Tim Willis fra Project Zero Vendors i en blogindlæg beskriver ændringen. 'Leverandører har nu 90 dage til patchudvikling og yderligere 30 dage til patch -adoption.'



Project Zero forlænger desuden den ekstra 30-dages afdragsfrihed til nul -dages sårbarheder der aktivt udnyttes mod brugere i naturen. Selvom afsløringsfristen kun er syv dage til patching, vil tekniske detaljer kun blive offentliggjort 30 dage efter rettelsen --- så længe problemet er løst af udviklere. Hvis ikke, offentliggøres tekniske detaljer med det samme.

Også udvidet til nul -dagesårbarheder

Disse nye regler gælder for 2021, selvom tingene kan ændre sig igen i fremtiden. Som blogindlægget bemærker: 'Vores præference er at vælge et udgangspunkt, der konsekvent kan opfyldes af de fleste leverandører og derefter gradvist sænke både patchudvikling og patch adoptionstider.'



Det er et hårdt arbejde at få den slags afsløringer til at passe, idet man afbalancerer brugernes interesser med at give udviklere tilstrækkelig tid til at udvikle og frigive en patch. Som Project Zero -teamet klart er klar over, er det et område, der fortsat vil blive justeret, efterhånden som cybersikkerhed og patching -foranstaltninger udvikler sig.

ryd microsoft edge cache uden at åbne

For nu vil du dog være hårdt presset til at foreslå, at Googles sikkerhedseksperter ikke gør det rigtige.



Billedkredit: Mitchell Luo/ Uplash CC

Del Del Tweet E -mail Microsofts patch tirsdag retter nul-dages udnyttelse og andre kritiske fejl

Opdater dine Windows -systemer for at beskytte mod de kritiske sårbarheder.

Læs Næste Relaterede emner
  • Sikkerhed
  • Tech News
  • Google
  • Cybersikkerhed
Om forfatteren Luke Dormehl(180 artikler udgivet)

Luke har været Apple-fan siden midten af ​​1990'erne. Hans hovedinteresser, der involverer teknologi, er smarte enheder og skæringspunktet mellem teknologi og den liberale kunst.

Mere fra Luke Dormehl

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for at få tekniske tips, anmeldelser, gratis e -bøger og eksklusive tilbud!

Klik her for at abonnere