Показано с 1 по 1 из 1
Комбинированный просмотр
-
06.03.2015, 20:31 #1
- Регистрация
- 17.02.2014
- Сообщений
- 358
- Сказал(а) спасибо
- 0
- Поблагодарили 4 раз(а) в 4 сообщениях
Google смягчает условия Project Zero
Корпорация Google объявила о смягчении правил своего проекта Project Zero, в рамках которого исследователи ищут уязвимости ПО и сообщают о них разработчикам. Согласно условиям Project Zero, разработчикам отводится ровно 90 дней на устранение уязвимости, после чего Google публикует информацию об уязвимости. А нередко вместе с ней в качестве доказательства публикуется и код, позволяющий эксплуатировать эту уязвимость.
Отношение к этой практике достаточно противоречивое. Очевидно, что Google стимулирует разработчиков укреплять кибербезопасность. Однако в то же время может и невольно вооружать киберпреступников новыми инструментами и методами атак. Не далее как в начале января Project Zero стал причиной ожесточенного конфликта между Google и Microsoft. Тогда представители Project Zero опубликовали данные об уязвимости в одном из продуктов Microsoft, не пожелав подождать два дня до выхода планового обновления, которое ее устраняло.
Вероятно, осознав, что такая жесткость все же чрезмерна, в Google решили изменить правила игры. Теперь, например, данные об уязвимости не публикуются, если 90-дневный срок истекает в выходной или праздничный день – сообщение откладывается до ближайшего рабочего дня. Но, главное, разработчик получает дополнительные две недели на решение проблемы, если заблаговременно уведомит Google, что в этот срок уязвимость точно будет устранена.
В Microsoft обиду не забыли, и новость прокомментировали весьма сдержанно. Один из специалистов по информационной безопасности корпорации Крис Бетц заявил, что практика публикации данных об уязвимостях и кодов их эксплуатации до решения проблемы по-прежнему может представлять существенную угрозу для пользователей. Он также отметил, что Google стоило бы теснее сотрудничать с разработчиками и проявлять больше гибкости, поскольку различные уязвимости могут требовать и разных сроков для устранения. В Google, однако, не намерены окончательно отказываться от 90-дневного срока, ссылаясь, в частности, на то, что координационный центр по решениям проблем безопасности CERT отводит на ликвидацию обнаруженных уязвимостей вдвое меньшее время – 45 суток.
Социальные закладки