Седьмого января команда Google Project Zero, специализирующаяся на поиске уязвимостей в ПО, сообщила об изменениях в правилах раскрытия информации об обнаруженных багах (новость, пост в блоге). В 2020 году Project Zero будет раскрывать информацию об уязвимостях через 90 дней после первого уведомления «пострадавшего» вендора. Дедлайн не изменился, но до этого исследователи из Project Zero могли опубликовать отчет о проблеме быстрее, если разработчику ПО удалось выпустить патч до этого срока. Теперь Project Zero будет ждать 90 дней вне зависимости от наличия заплатки.Новые правила представляют интерес по ряду причин. Во-первых, нет единого стандарта — сколько времени давать разработчику ПО на анализ уязвимости и ее устранение. Команда Project Zero, регулярно обнаруживающая серьезные уязвимости в ПО, принимает такие решения самостоятельно и таким образом пытается влиять на всю индустрию. Во-вторых, важно изменение приоритетов: вместо «давайте закроем этот баг побыстрее» разработчиков мотивируют устранять уязвимость надежно. Иначе регулярно выходит, что патч либо не решает проблему вовсе, либо добавляет новые баги.
Читать дальше →
Источник: Хабрахабр
Источник: Kaspersky_Lab
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке