USD 66.24 ЕВРО 75.71

Google дает разработчикам больше времени для исправления уязвимостей

Экономика

Microsoft критикует Google за раскрытие уязвимости в системе безопасности Windows 8.1 за два дня до выхода патча

Google Project Zero, объявленный в прошлом году, предназначен для поддержания безопасности в Интернете. Инженеры Google ищут уязвимости «нулевого дня» в программном обеспечении и сервисах — ранее неизвестные бреши в безопасности, которые разработчики не смогли залатать или исправить. Когда инженеры находили такую уязвимость, Google первоначально давала разработчикам строгий 90-дневный срок на исправление, прежде чем публично обнародовать ее. Во время старта проекта, поисковый гигант считал, что данный срок обеспечивает разработчикам достаточно времени на исправление, но, столкнувшись с критикой, Google собирается его продлить.

Если разработчики свяжутся с Google и покажут, что исправление готовится, но не будет готово в 90-дневный срок, то они могут получить еще 14-дневный льготный период для выпуска патча, без раскрытия уязвимости. Google также согласилась сместить сроки, которые попадают на выходные дни и национальные праздники на следующий рабочий день, и заявила, что в экстремальных условиях, она будет сдвигать сроки вперед или назад.

Изменения происходят через месяц после того, как Microsoft открыто критиковала Google за публикацию информации об уязвимости в Windows 8.1 за два дня до запланированного исправления. Microsoft говорит, что подход Google был не столько принципиальным, сколько формальным и контрпродуктивным, в результате чего страдают клиенты. После раскрытия другой уязвимости безопасности в Windows 8.1 перед тем, как Microsoft была готова исправить ее в декабре прошлого года, Google настаивала на своем 90-дневном сроке, утверждая, что ее сроки раскрытия информации «в настоящее время являются оптимальными для безопасности пользователя».

Небольшие изменения политики дадут разработчикам немного больше времени, чтобы завершить свою работу, но Google ни в коем случае не самая требовательная из всех исследовательских групп безопасности, когда дело доходит до раскрытия уязвимостей нулевого дня. Google утверждает, что ее политика 90 дней является «расписанием среднего уровня» по сравнению с коллегами по отрасли. Программа Zero Day Initiative, вознаграждающая исследователей за обнаружение уязвимостей нулевого дня, предлагает более мягкие сроки – 120 дней, в которые разработчики могут выпустить исправление, в то время как CERT Карнеги Меллона дает разработчикам только 45 дней на латание дыр в безопасности.