Project Zero to niezwykle ciekawa inicjatywa Google, w ramach której deweloperzy poszukują w programach komputerowych ewentualnych poważnych luk bezpieczeństwa. Teraz zmieniają swoje zasady gry, choć nie z pożytkiem dla wszystkich.
Masz 90 dni na załatanie luk bezpieczeństwa, a potem Google powie, jak się włamać
Zmiana polityki Google Project Zero
Google uruchomiło w Project Zero. W jego ramach gigant z Mountain View chce dbać o bezpieczeństwo internetu, za co już odpowiadają bezpośrednio specjaliści z zakresu cyberbezpieczeństwa, którzy wyszukują luk bezpieczeństwa w oprogramowaniu i informują o nich deweloperów. Do tej pory były publikowane informacje na ten temat 90 dni po wykryciu potencjalnie niebezpiecznej wady lub w momencie usunięcia podatności. W taki sposób całkiem sprytnie wymuszali na deweloperach sprawne implementowanie poprawek i wydaje mi się, że było to rozsądne rozwiązanie.
Teraz jednak Google uznał, że warto zautomatyzować to publikowanie. Po upływie 90 dni lub po 104 dniach, jeżeli deweloperzy poproszą o dodatkowe dwa tygodnie i odpowiednio uzasadnią swoją prośbę, w sieci zostanie udostępniona wiadomość na temat konkretnego błędu bezpieczeństwa.
Jednocześnie Google chce zadbać o poprawę funkcjonowania Project Zero. W tym celu nie będą osobno opisywać każdego z problemów i postarają się o to, aby powiązane między sobą luki były udostępniane w ramach jednego raportu. Myślę, że to sensowne rozwiązanie, które usystematyzuje wszystkie wykryte nieprawidłowości.
Zobacz też: Cyberbezpieczeństwo na tle RODO.
Warto w tym miejscu spojrzeć na to, jak Project Zero wypada pod względem współczynnika powodzenia. Od początku istnienia programu, aż 97,7% nieprawidłowości zostało usuniętych terminie nie dłuższym niż 90 dni. Wprowadzone ostatnio zmiany mają pomóc poprawić ten wynik i spowodować, że współpraca między wytwórcami oprogramowania, a ekipą Google będzie jeszcze lepsza. Owszem, nie wszyscy są zadowoleni, ponieważ tym razem opis każdej luki zostanie udostępniony od razu po wydaniu poprawki, jeżeli nastąpi to między 90, a 104 dniem od wykrycia, co nie każdemu odpowiada. Myślę jednak, że wszyscy do tego się dostosują, o ile będzie im zależeć na zachowaniu odpowiedniego poziomu ochrony.
Troska o wspólne cyberbezpieczeństwo
Niewątpliwie takie programy pozwalają zapewnić wyższe bezpieczeństwo przy korzystaniu z oprogramowania. Na dobrą sprawę pojedyncza firma może mieć problem, aby móc znaleźć wszystkie ewentualne zagrożenia, a przeoczenie błędu może zdarzyć się nawet najlepszym.
W przypadku samego Project Zero wielokrotnie zdarzało się jednak również zaliczyć kontrowersyjne decyzje i sporo osób zastanawiało się nad tym, jak bardzo ich decyzje sprzyjają usługom Google. W przypadku testu przeglądarek zwycięstwo należało do Chrome, z kolei peleton zamykało Safari. Nie obyło się też wpadek ze strony Microsoftu i w 2017 roku firma z Redmond spóźniła się z udostępnieniem patcha na Windowsa 10, co skutkowało udostępnieniem informacji o luce przez Project Zero, choć w tym przypadku winnym całej sytuacji był opieszały Microsoft. Niewątpliwie takie działania wpływają także pozytywnie na to, że deweloperzy czują większą odpowiedzialność za lepsze testowanie swoich aplikacji.
źródło: Android Police
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu