Корпорация Google объявила о смягчении правил своего проекта Project Zero, в рамках которого исследователи ищут уязвимости ПО и сообщают о них разработчикам. Согласно условиям Project Zero, разработчикам отводится ровно 90 дней на устранение уязвимости, после чего Google публикует информацию об уязвимости. А нередко вместе с ней в качестве доказательства публикуется и код, позволяющий эксплуатировать эту уязвимость.
Отношение к этой практике достаточно противоречивое. Очевидно, что Google стимулирует разработчиков укреплять кибербезопасность. Однако в то же время может и невольно вооружать киберпреступников новыми инструментами и методами атак. Не далее как в начале января Project Zero стал причиной ожесточенного конфликта между Google и Microsoft. Тогда представители Project Zero опубликовали данные об уязвимости в одном из продуктов Microsoft, не пожелав подождать два дня до выхода планового обновления, которое ее устраняло.
Вероятно, осознав, что такая жесткость все же чрезмерна, в Google решили изменить правила игры. Теперь, например, данные об уязвимости не публикуются, если 90-дневный срок истекает в выходной или праздничный день – сообщение откладывается до ближайшего рабочего дня. Но, главное, разработчик получает дополнительные две недели на решение проблемы, если заблаговременно уведомит Google, что в этот срок уязвимость точно будет устранена.
В Microsoft обиду не забыли, и новость прокомментировали весьма сдержанно. Один из специалистов по информационной безопасности корпорации Крис Бетц заявил, что практика публикации данных об уязвимостях и кодов их эксплуатации до решения проблемы по-прежнему может представлять существенную угрозу для пользователей. Он также отметил, что Google стоило бы теснее сотрудничать с разработчиками и проявлять больше гибкости, поскольку различные уязвимости могут требовать и разных сроков для устранения. В Google, однако, не намерены окончательно отказываться от 90-дневного срока, ссылаясь, в частности, на то, что координационный центр по решениям проблем безопасности CERT отводит на ликвидацию обнаруженных уязвимостей вдвое меньшее время – 45 суток.
Google смягчает условия Project Zero
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
- 4 Ответы
- 1409 Просмотры
-
Последнее сообщение Настя
14 окт 2020, 12:21
-
-
Новое сообщение На онлайн займы везде одинаковые условия Украине??
МистерБорщ » 22 май 2024, 11:33 » в форуме Курилка - 3 Ответы
- 208 Просмотры
-
Последнее сообщение masya
22 май 2024, 11:34
-
-
- 0 Ответы
- 575 Просмотры
-
Последнее сообщение Tcinet
27 янв 2015, 12:14
-
-
Новое сообщение Google оставил без поддержки почти миллиард устройств
Tcinet » 28 янв 2015, 19:30 » в форуме Смартфоны, планшеты - 0 Ответы
- 1244 Просмотры
-
Последнее сообщение Tcinet
28 янв 2015, 19:30
-
-
- 0 Ответы
- 560 Просмотры
-
Последнее сообщение Tcinet
31 мар 2015, 17:28
Кто сейчас на конференции
Сейчас этот форум просматривают: Lovelas, МистерБорщ и 1288 гостей