09/01/20
Программа раскрытия уязвимостей Project Zero от компании Google нацелена на то, чтобы стимулировать производителей ПО к скорейшему выпуску исправлений, однако далеко не все проходит в соответствии с планом. Раскрытие уязвимостей до выхода исправлений, малоэффективные патчи на скорую руку и т.п. уже стали обычным явлением. В связи с этим Google решила пересмотреть политики Project Zero с целью поощрения как более тщательной подготовки исправлений, так и повсеместного их применения.
Отныне Google будет ждать 90 дней с момента, когда стало известно об уязвимости, даже если она была исправлена задолго до дедлайна. Выпустив исправление раньше, разработчики уязвимого ПО сохранят себе больше времени на его распространение и смогут убедиться, что патч эффективно устраняет причину проблемы.
Еще одно изменение компания внесла в политики Project Zero касательно неполноценных патчей. Теперь в случае, если выпущенное разработчиком исправление оказалось неэффективным, ему сообщат об этом, а информация о неэффективности патча будет добавлена в существующий отчет об уязвимости. В некоторых случаях неэффективность исправления будет рассматриваться как отдельная проблема, которая должна быть исправлена в установленные сроки.
Google намерена тестировать нововведения в течение всего 2020 года, и в случае их успеха примет окончательно.
