تیم Project Zero گوگل برای رفع نقص امنیتی مهلت بیشتری به توسعهدهندگان میدهد
تیم امنیتی پروژه زیرو گوگل (Google Project Zero) در بیانیهای اعلام کرده است ۳۰ روز بیشتر از قبل برای تشریح عمومی جزئیات آسیبپذیریها صبر میکند تا توسعهدهندگان زمان کافی برای رفع کردن آسیبپذیری در اختیار داشته باشند. بدین ترتیب توسعهدهندگان همچنان ۹۰ روز زمان در اختیار دارند تا باگهای عادی را برطرف کنند و در صورتی که به زمان بیشتر نیاز داشته باشند، میتوانند درخواست دهند تا ۱۴ روز مهلت اضافه به آنها داده شود.
با همهی اینها گوگل از این پس ۳۰ روز دیگر هم صبر میکند و در صورتی که مشکل امنیتی رفع نشده بود، جزئیات را بهصورت عمومی اعلام میکند.
برای آن دسته از آسیبپذیریهایی که به شکل فعالانه موردبهرهبرداری واقع میشوند (آسیبپذیریهای صفر روزه)، شرکتها مثل قبل هفت روز زمان دارند که آسیبپذیری را رفع کنند و در صورت نیاز سه روز مهلت اضافه به آنها داده میشود. آنطور که انگجت گزارش میدهد، گوگل اکنون ۳۰ روز دیگر برای تشریح جزئیات فنی آسیبپذیریهای صفر روزه نیز صبر میکند.
پروژه زیرو تیمی امنیتی در گوگل است که از متخصصان زبدهی حوزهی نرمافزار تشکیل شده و بهدنبال آسیبپذیری پلتفرمها و اپلیکیشنها میگردد. تیم امنیتی گوگل سپس جزئیات آسیبپذیری را با توسعهدهنده در میان میگذارد و در صورتی که توسعهدهنده در زمان تعیینشده نتواند آسیبپذیری را رفع کند، جزئیات را رسانهای میکند تا کاربران از خطر مطلع باشند.
سال گذشتهی میلادی گوگل اعلام کرد زمان بیشتری به توسعهدهندگان میدهد تا آسیبپذیریها را رفع کنند و امیدوار بود آسیبپذیریها خیلی زود رفع شوند تا کاربران زمان کافی برای پچ کردن دستگاههایشان در اختیار داشته باشند. تیم ویلیز، از اعضای پروژه زیرو گوگل، میگوید: «بااینحال در عمل تغییری درخورتوجه در زمانبندی توسعهی بهروزرسانی امنیتی مشاهده نکردیم و همچنان به دریافت بازخورد از تولیدکنندگان ادامه دادیم. تولیدکنندگان به ما گفتند دررابطهبا افشای عمومی جزئیات فنی آسیبپذیریها پیش از نصب شدن پچ توسط اکثر کاربران، نگران هستند».
در واقع تولیدکنندگان میگویند اگر گوگل در زمانی سریع پس از رفع شدن آسیبپذیری جزئیات را منتشر کند، هنوز افراد زیادی بهروزرسانی را نصب نکردهاند و دستگاهشان آسیبپذیر است؛ بنابراین هکرهای سودجو میتوانند دستگاههای آسیبپذیر را هدف قرار دهند.
اکنون توسعهدهندگان دارای همان مهلت ۹۰ روزه یا هفت روزه برای توسعهی بهروزرسانی امنیتی هستند و کاربران عادی ۳۰ روز زمان دارند بهروزرسانی امنیتی را پیش از انتشار عمومی جزئیات فنی آن نصب کنند. اگر توسعهدهندگان خواستار مهلت بیشتر باشند، این مهلت در قالب ۳۰ روز اضافهای که گوگل بهتازگی در نظر گرفته است حساب میشود و این یعنی در هر صورت آسیبپذیریهای عادی و صفر روزه بهترتیب پس از گذر ۱۲۰ روز و ۳۷ روز رسانهای میشوند. اگر توسعهدهنده نتواند پچ را در زمان مقرر منتشر کند، جزئیات آسیبپذیریهای عادی و صفر روزه بهترتیب در عرض ۹۰ روز و هفت روز بهصورت عمومی منتشر میشود.
سیاست جدید گوگل در سال ۲۰۲۱ عملیاتی میشود و احتمال دارد در سال آیندهی میلادی شاهد اعمال تغییراتی در آن باشیم. گوگل در بخش پایانی بیانیهای که روی وبلاگ پروژه زیرو منتشر کرده است مینویسد: «ترجیح ما این است زمانی را در نظر بگیریم که توسعهدهندگان بتوانند بهصورت مداوم با آن تطبیق پیدا کنند و سپس بهصورت تدریجی مدتزمان توسعهی پچ و نصب آن را کاهش دهیم».