Google project ZeroМесяц назад компания Google предала огласки детали уязвимости, обнаруженной в большинстве поддерживаемых ОС Windows. В корпорации в ответ на это раскритиковали Google за то, что они не предоставили им должного времени на исправление найденной проблемы, и тем самым просто "подловили" конкурента.


Проект Project Zero, начатый Google, содержит четкие правила о том, когда информация о найденных уязвимостях может стать общедоступной. В том случае, если разработчик более 90 дней не смог справиться с исправлениями, компания дает этой информации огласку. Делается это, в первую очередь, для того, чтобы IT-отдели и пользователи, подверженные опасности из-за обнаруженных уязвимостей, приняли меры уменьшению угрозы для себя.


Инцидент, произошедший месяцем ранее, возник из-за того, что Microsoft не хватило всего несколько дней для выпуска исправления в рамках Patch Tuesday. В это время данной брешью активно пользовались злоумышленники. Дабы данная ситуация не повторялась, Google решила внести поправки в  правила.


В том случае, если разработчик сообщает о том, что не успевает выпустить исправление в 90-дневный срок, ему предоставляется еще 14 дней для выпуска патча.

Также в выходные и праздничные дни данные об уязвимостях раскрываться не будут.


Microsoft положительно отреагировала на нововведения, правда нашлось место и для критики. Связано это тем, что каждое обновление уникально, а время разработки и тестирования различается в каждом конкретном случае.
К примеру, Project Zero дает 90 дней на исправления, в то время, как аналогичный проект  Zero Day Initiative (ZDI) предоставляет на это 120 дней. Computer emergency response teams CERT при американском научно-исследовательском заведении Software Engineering Institute (SEI) самая критичная по срокам - она предоставляет всего 45 дней, но данный срок может варьироваться в том случае, если сама организация посчитает это целесообразным.

Материалы по теме


Нововведения в Project Zero

Защита от вирусов в Windows 10 будет базовой

Отчет о безопасности продуктов Microsoft

Advance Notification Service будет перенастроен