- Google’s Project Zero memberi vendor 90 hari untuk memperbaiki bug, dan 30 hari untuk adopsi patch
- ‘Celah tambalan hulu’ berarti terlalu lama untuk menjadi tambalan untuk menjadi tersedia
- Melaporkan lebih lanjut detail akan mendorong lebih banyak transparansi
Google telah berjanji untuk melakukan pembaruan untuk proyek pengungkapan proyek nol untuk melaporkan lebih banyak detail keamanan dalam upaya meningkatkan keamanan dengan memungkinkan pengembang lebih cepat akses ke rincian kerentanan yang lebih baik.
Diluncurkan pada tahun 2021, Project Zero diluncurkan dengan kebijakan 90+30-90 hari bagi vendor untuk memperbaiki bug yang dilaporkan, dan tambahan 30 hari bagi pengguna untuk mengadopsi tambalan jika diperbaiki dalam jendela 90 hari.
Namun, sejak itu, yang disebut ‘celah tambalan hulu’ telah muncul di mana waktu antara ketika perbaikan tersedia di hulu dan ketika tersedia oleh vendor hilir lebih panjang dari ideal, memperluas siklus hidup kerentanan.
Google’s Project Zero akan mengungkapkan lebih banyak pelanggaran
Kebijakan uji coba baru akan meningkatkan transparansi pelaporan dengan mengungkapkan vendor atau proyek open-source, produk yang terkena dampak, tanggal laporan yang diajukan dan tenggat waktu pengungkapan 90 hari.
Perubahan diumumkan oleh Tim Willis proyek, yang menjelaskan: “Untuk pengguna akhir, kerentanan tidak diperbaiki ketika tambalan dilepaskan dari vendor A ke vendor B; itu hanya diperbaiki ketika mereka mengunduh pembaruan dan menginstalnya di perangkat mereka.”
“Dengan memberikan sinyal awal bahwa kerentanan telah dilaporkan hulu, kami dapat menginformasikan tanggungan hilir dengan lebih baik,” tulis Willis.
Google berharap bahwa pembaruan Project Zero untuk memasukkan lebih banyak detail lebih cepat akan membantu melacak publik berapa lama antara vendor pertama membuat tambalan tersedia dan tambalan yang tersedia di perangkat akhir. Willis menjelaskan bahwa lingkungan di mana transparansi normal dan diharapkan adalah tujuannya
Willis menekankan, “Tidak ada detail teknis, kode bukti-konsep, atau informasi yang kami yakini secara material akan membantu penemuan akan dirilis,” oleh karena itu pelaporan sebelumnya tidak akan memberikan penyerang di atas angin.
