Mandatos de cambio de política del Proyecto Cero de Google 90 días …



La política de divulgación actualizada tiene como objetivo lograr un desarrollo de parches más completo y mejorado, informa Google.

El Proyecto Cero de Google, una división centrada en la investigación de seguridad, anunció hoy cambios en su Política de divulgación. Todas las vulnerabilidades se liberarán después de 90 días de forma predeterminada, independientemente de cuándo se solucione un mistake, a menos que se haya llegado a un acuerdo entre Venture Zero y el proveedor.

El plazo de divulgación de 90 días ha existido durante cinco años y ha acelerado el desarrollo de parches. Cuando Task Zero comenzó en 2014, algunas vulnerabilidades tardaron más de seis meses en solucionarse. El año pasado, el 97,7% de los problemas se abordaron en el plazo de 90 días. Aún así, la división reconoce que hay avances en el desarrollo de parches y la gestión de vulnerabilidades.

Ahora está probando una nueva política para errores reportados a partir del 1 de enero de 2020. Las pautas anteriores del Proyecto Cero permitieron que se publicaran detalles de vulnerabilidad cuando se solucionó el mistake, incluso si era anterior al Día 90. Su nueva política elimina la divulgación temprana: los detalles se lanzará el día 90 para todos los errores. Si hay un acuerdo mutuo entre el proveedor y el Proyecto Cero, los informes de errores se pueden publicar al público en el plazo de 90 días, informan los investigadores en una publicación de site.

El objetivo es proporcionar una forma más coherente y justa de liberar parches, escribió Tim Willis de Task Zero en una publicación de web site. Si bien el desarrollo de parches más rápido sigue siendo un objetivo, el equipo ahora se está centrando por igual en el desarrollo completo de parches y en una amplia adopción. También espera crear equidad entre los proveedores para que ninguna compañía, incluida Google, reciba un trato preferencial.

«Demasiadas veces, hemos visto a los proveedores parchear vulnerabilidades reportadas al» tapar las grietas «y no considerar variantes o abordar la causa raíz de una vulnerabilidad», explicó Willis. Un enfoque en el «desarrollo de parches más rápido» puede exacerbar este problema, continuó, permitiendo a los atacantes ajustar sus exploits y continuar lanzando ataques.

Además, señaló Willis, los parches deben aplicarse para que sean efectivos. «Con este fin, mejorar la adopción oportuna de parches es importante para garantizar que los usuarios realmente obtengan el beneficio de la corrección del error». Con la ventana obligatoria de 90 días, la esperanza es que los proveedores puedan ofrecer actualizaciones y alentar a más personas a instalar arreglos dentro de los 90 días.

Undertaking Zero probará esta política durante 12 meses y luego considerará si hacer un cambio a largo plazo. Lea más detalles en la publicación completa del site aquí.

Fast Hits de Dark Reading through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente first de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Más thoughts





Enlace a la noticia original