Zmiany w polityce Project Zero: będzie więcej czasu na przygotowanie poprawek

Zmiany w polityce Project Zero: będzie więcej czasu na przygotowanie poprawek

Zmiany w polityce Project Zero: będzie więcej czasu na przygotowanie poprawek
Redakcja
16.02.2015 14:07

Firma Google wprowadza istotne zmiany w swojej polityce ujawniania informacji o lukach wykrytych w ramach działalności grupy Project Zero. Ten dział korporacji zajmuje się wyszukiwaniem podatności i błędów związanych z bezpieczeństwem w oprogramowaniu firm trzecich i już kilkukrotnie stał się obiektem poważnej krytyki, właśnie za sprawą oddawania w ręce potencjalnych atakujących dokładnych informacji o problemach.

Najważniejsze z wprowadzonych przez Google zmian dotyczą terminów upubliczniania informacji o znalezionych lukach bezpieczeństwa. Jeżeli termin 90 dni kończy się w weekend lub dni świąteczne, informacje zostaną opublikowane dopiero w pierwszy dzień roboczy przypadający po nich. To niewielka pociecha dla firm, ale dostają one jeszcze jedną szansę: jeżeli producent danego oprogramowania zgłosi Google, że wyda poprawkę określonego dnia w czasie maksymalnie 14 dni po wygaśnięciu terminu 90-dniowego przyjętego przez Google, informacje o luce nie będą publikowane. Tego typu informacje zostaną zamieszczone w Sieci dopiero w momencie, gdy planowana data wydania poprawki znacznie przekracza określone limity.

Obraz

Wpis opublikowany na oficjalnym blogu Project Zero wydaje się zarazem nieco tłumaczyć działania Google, na które ostatnio spadło wiele krytyki. O ujawnianiu luk w oprogramowaniu stało się głośno po tym, jak Google pokazało światu bardzo poważną lukę w Windows 8.1, z którą Microsoft nie był sobie w stanie poradzić w ciągu 90 dni od zgłoszenia. W zaledwie dwa tygodnie później upubliczniono materiały dotyczące kolejnej luki, tym razem dotykającej Windows 8 i Windows 8.1, której poprawka również nie została opublikowana na czas. Po tych działaniach Chris Betz z Microsoftu ostro skrytykował Google za tego typu działania dając do zrozumienia, że przetestowanie aktualizacji wymaga czasu, a publiczne opisywanie problemów naraża użytkowników znacznie bardziej, niż istnienie zagrożenia, o którym być może nie wie nikt więcej, niż tylko specjaliści z konkurencyjnej firmy.

Słowa pracownika Microsoftu niosą ze sobą wiele prawdy, ale warto zauważyć (i dzieje się to we wspomnianym wpisie), że Google wcale nie jest osamotnione w swoim działaniu. Organizacja CERT zajmująca się bezpieczeństwem komputerowym upublicznia dane w zaledwie 45 dni po wykryciu. Pracownicy Yahoo! robią to po 90 dniach, a ZDI korzysta z okresu 120-dniowego. W każdym przypadku chodzi o to, aby w razie braku poprawki wszyscy zainteresowani mogli samodzielnie załatać podatne na atak miejsca, lub zabezpieczyć je w inny sposób. Jak więc widać, Google, w szczególności po wprowadzonych poprawkach do swojej polityki, nie wypada wcale tak źle: czasu nie jest zbyt wiele dla ogromnych, zbiurokratyzowanych korporacji, ale to zarazem sygnał, że powinny zmienić one swoje procedury związane z bezpieczeństwem i przygotowywać poprawki szybciej, niż miało to miejsce do tej pory.

Warto zauważyć coś jeszcze: firma wcale nie traktuje swoich produktów ulgowo, a przynajmniej takie jest jej oficjalne stanowisko. Jeżeli specjaliści z Project Zero odkryją lukę w np. Androidzie, to inny zespół tej samej firmy również jest zobowiązany do stworzenia poprawki w ciągu 90 dni. W przeciwnym razie luka zostanie upubliczniona. Oczywiście tak to wygląda oficjalnie, nie można natomiast ręczyć że jest tak w rzeczywistości i że firma daje sobie znacznie więcej czasu na przygotowanie odpowiednich poprawek.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (26)