Security Week 03: принципы ответственного багрепорта

Седьмого января команда Google Project Zero, специализирующаяся на поиске уязвимостей в ПО, сообщила об изменениях в правилах раскрытия информации об обнаруженных багах (новость, пост в блоге). В 2020 году Project Zero будет раскрывать информацию об уязвимостях через 90 дней после первого уведомления «пострадавшего» вендора. Дедлайн не изменился, но до этого исследователи из Project Zero могли опубликовать отчет о проблеме быстрее, если разработчику ПО удалось выпустить патч до этого срока. Теперь Project Zero будет ждать 90 дней вне зависимости от наличия заплатки.

Новые правила представляют интерес по ряду причин. Во-первых, нет единого стандарта — сколько времени давать разработчику ПО на анализ уязвимости и ее устранение. Команда Project Zero, регулярно обнаруживающая серьезные уязвимости в ПО, принимает такие решения самостоятельно и таким образом пытается влиять на всю индустрию. Во-вторых, важно изменение приоритетов: вместо «давайте закроем этот баг побыстрее» разработчиков мотивируют устранять уязвимость надежно. Иначе регулярно выходит, что патч либо не решает проблему вовсе, либо добавляет новые баги.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Вредоносная атака на Laravel-Lang
• Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
• Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
• CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
• Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
• QNAME minimisation на практике: RFC 7816, реализация, грабли
• Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
• Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
• Объявлены победители Workspace Digital Awards-2026
• Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК № 117