- O Projeto Zero do Google oferece aos fornecedores 90 dias para corrigir um bug e 30 dias para adoção de patches
- ‘Gap de patch upstream significa que leva muito tempo para que um patch fique disponível
- Relatar mais detalhes incentivará mais transparência
Google tem prometido Para fazer atualizações da política de divulgação do Projeto Zero, para relatar mais detalhes de segurança mais rápidos, em um esforço para melhorar a segurança, permitindo que os desenvolvedores sejam mais rápidos nos detalhes mais finos das vulnerabilidades.
Lançado em 2021, o Projeto Zero foi lançado com uma política de 90+30-90 dias para os fornecedores corrigirem um bug relatado e mais 30 dias para os usuários adotarem o patch se ele for corrigido dentro da janela de 90 dias.
No entanto, desde então, surgiu o chamado “lacuna de patch” a montante “, no qual o tempo entre quando uma correção está disponível a montante e quando fica disponível pelos fornecedores a jusante é mais longo que o ideal, estendendo o ciclo de vida das vulnerabilidades.
O projeto do Google Zero divulgará ainda mais infromação
Uma nova política de estudo melhorará a transparência do relatório, divulgando o fornecedor ou o projeto de código aberto, o produto afetado, a data do relatório arquivado e o prazo de divulgação de 90 dias.
As alterações foram anunciadas pelo Tim Willis do projeto, que explicou: “Para o usuário final, uma vulnerabilidade não é corrigida quando um patch é liberado do fornecedor A para o fornecedor B; ele só é corrigido quando eles baixam a atualização e a instalam em seu dispositivo”.
“Ao fornecer um sinal precoce de que uma vulnerabilidade foi relatada a montante, podemos informar melhor os dependentes a jusante”, escreveu Willis.
O Google espera que o Projeto Zero Atualize para incluir mais detalhes mais cedo ajudar o público a rastrear quanto tempo leva entre um fornecedor primeiro disponibilizando um patch e esse patch está disponível no dispositivo final. Willis explicou que um ambiente em que a transparência é normal e esperada é o objetivo
Willis enfatizou: “Não há detalhes técnicos, código de prova de conceito ou informações que acreditamos que ajudem materialmente a descoberta será divulgada”, portanto, os relatórios anteriores não darão aos atacantes a vantagem.
Fique conectado