Googlen Project Zero on viime aikoina paljastanut muun muassa Microsoft Windowsista löytyneitä tietoturva-aukkoja ennen kuin Microsoft on niitä kerinnyt korjaamaan. Nyt Project Zero muuttuu siltä osin hieman.
Projektin idea on kerätä ja selvittää eri ohjelmistojen tietoturva-aukkoja, kun projektin haaviin jää jokin tietoturva-aukko, yrittää se saada yhteyttä ohjelmiston kehittäjään, sitten se odottaa 90 päivää jonka jälkeen se julkaisee haavoittuvuuden sellaisenaan, toivoen että sovelluskehittäjä olisi siihen mennessä korjannut ohjelmansa ja tarjoaisi päivityksen siihen.
Project Zero on saanut negatiivista että positiivista palautetta siitä että se on pitänyt kiinni sen 90-päivän rajasta kiinni.
Lisäaikaa vain hakemalla:
Projekti on nyt joka tapauksessa päättänyt muuttaa toimintatapojaan siltä osin, sovelluskehittäjille tarjotaan jatkossa mahdollisuus saada lisäaikaa haavoittuvuuksien korjaamiseen, mikäli heillä on esittää selkeä syy miksei 90-päivää välttämättä riitä.
Project Zero voi myöntää lisäaikaa 14 päivää, jonka jälkeen se julkaisee haavoittuvuuden joka tapauksessa.
Project Zero ei myöskään julkaise haavoittuvuuksia viikonloppuina eikä juhlapyhinä, josta se on myös saanut negatiivista palautetta. Nyt saavat sitten koodariparatkin hieman levätä.
LÄHDE: Afterdawn
Ei kommentteja:
Lähetä kommentti
"be excellent to each other"