Google Project Zero, ett team av säkerhetsexperter som är anställda av sökjätten med jobbet att leta efter noll dagars programvarusårbarhet, har uppdaterat sina riktlinjer för avslöjande av sårbarheter.
Den uppdaterade policyn lägger till ett extra 30-dagars fönster för vissa avslöjanden av säkerhetsfel. Innan detta publicerade Googles forskare detaljer om sårbarheter i deras online-buggspårare i slutet av ett 90-dagarsfönster eller efter att felet lappats.
Längre att lappa
Den extra månaden (ungefär) ger både leverantörer och användare lite längre tid att utveckla, dela och installera nödvändiga korrigeringsfiler för deras programvara innan detaljer om sårbarheten delas online. Detta är goda nyheter eftersom det ögonblick som sårbarhetsdetaljer delas online kan de potentiellt vapenas av angripare.
Även om korrigeringar oftast har släppts med den punkten att detaljer om sårbarhet publiceras är det fortfarande beroende av att användare själva har installerat korrigeringsfilerna. I vissa fall kan detta vara en tidskrävande uppgift. Googles extra 30 dagar är därför goda nyheter.
"Målet med vår policyuppdatering 2021 är att göra tidslinjen för antagning av korrigeringsfiler till en tydlig del av vår policy för avslöjande av sårbarheter", säger Tim Willis från Project Zero Vendors i en blogginlägg som beskriver förändringen. "Leverantörer har nu 90 dagar för patchutveckling och ytterligare 30 dagar för antagning av patch."
Project Zero utökar dessutom den extra 30-dagars respitperioden till zero day sårbarheter som utnyttjas aktivt mot användare i naturen. Även om tidsfristen för offentliggörande bara är sju dagar för lappning kommer tekniska detaljer endast att publiceras 30 dagar efter åtgärden så länge problemet är fixat av utvecklare. Om inte kommer tekniska detaljer att publiceras omedelbart.
Utökat till nolldagssårbarheter, för
Dessa nya regler kommer att gälla för 2021, även om saker och ting kan förändras igen i framtiden. Som blogginlägget antecknar: "Vår preferens är att välja en startpunkt som konsekvent kan mötas av de flesta leverantörer, och sedan gradvis sänka tidslinjer för både patchutveckling och patch-antagande."
Att få rätt på dessa typer av avslöjanden är ett tufft jobb och att balansera användarnas bästa med att ge utvecklare tillräckligt med tid för att utveckla och släppa en patch. Som Project Zero-teamet är medvetet om är det ett område som kommer att fortsätta att justeras när cybersäkerhet och patcheringsåtgärder utvecklas.
För tillfället skulle du dock vara svårt att föreslå att Googles säkerhetsexperter inte gör rätt.
Bildkredit: Mitchell Luo /Unsplash CC
Uppdatera dina Windows-system för att skydda mot kritiska sårbarheter.
Läs Nästa
- Tekniska nyheter
- Cybersäkerhet
Luke har varit ett Apple-fan sedan mitten av 1990-talet. Hans huvudsakliga intressen med teknik är smarta enheter och skärningspunkten mellan teknik och fri konst.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.