Challenge Zero de Google para esperar más antes de revelar detalles de errores


El período de gracia de 30 días está diseñado para acelerar el lanzamiento y la adopción de parches.

El equipo Project Zero de Google ha anunciado que dará a los proveedores y empresas un período adicional de 30 días antes de revelar los detalles técnicos de una vulnerabilidad.

«A partir de hoy, cambiaremos nuestra Política de divulgación para volver a centrarnos en reducir el tiempo que tardan en solucionarse las vulnerabilidades, mejorar los puntos de referencia actuales de la industria sobre los plazos de divulgación, así como cambiar cuando publicamos detalles técnicos». dijo Tim Willis, gerente senior de ingeniería de seguridad del equipo de élite de búsqueda de errores de Google.

Anteriormente, de acuerdo con la política de divulgación de 2020, a los proveedores se les concedía un ciclo de 90 días entre la notificación de la vulnerabilidad inicial y hasta que sus detalles se divulgaran públicamente, y la divulgación pública se realizaba independientemente de si el error se solucionó o no.

Sin embargo, de acuerdo con su nueva política de divulgación de vulnerabilidades, los desarrolladores aún tendrán 90 días para corregir la vulnerabilidad. Sin embargo, Job Zero les dará otros 30 días antes de que publique detalles sobre la falla, siempre y cuando el mistake se solucione dentro de ese período. El objetivo last es también dar a los usuarios tiempo suficiente para parchear sus sistemas.

Más tiempo para parchear

La nueva política de divulgación también afecta las vulnerabilidades que se explotan activamente en la naturaleza. Si bien anteriormente estas fallas se revelaban automáticamente siete días después de que se informaron, los proveedores ahora pueden solicitar un período de gracia de tres días. Si el error se corrige en siete días, Undertaking Zero esperará 30 días antes de revelar detalles técnicos sobre la falla de seguridad.

La idea principal detrás de la política de 2020 era que los proveedores que querían darles a los usuarios más tiempo para parchear sus sistemas se enfocarían en enviar las correcciones más temprano en el ciclo de 90 días. Sin embargo, como señaló Willis, ese no fue el caso, y dijo que Task Zero «no observó un cambio significativo en los plazos de desarrollo de parches».

“El objetivo de la actualización de nuestra política de 2021 es hacer que el cronograma de adopción de parches sea una parte explícita de nuestra política de divulgación de vulnerabilidades. Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches ”, agregó.

El nuevo modelo se adoptó por temor a que la transición a una política de 60 + 30 se considerara demasiado rápida y disruptiva. Pero en el futuro, Google anticipa que podrá reducir constantemente la cronogramas de desarrollo y adopción de parches para proveedores.

«Pasar a un modelo» 90 + 30 «nos permite desvincular el tiempo de parcheo del tiempo de adopción del parche, reducir el polémico debate en torno a las compensaciones entre atacante y defensor y el intercambio de detalles técnicos, al tiempo que aboga por reducir la cantidad de tiempo que finaliza los usuarios son vulnerables a ataques conocidos ”, concluyó Willis. Undertaking Zero es conocido por una número de divulgaciones de alto perfil hace unos meses, el equipo informó multiple zero-días afectando Cromo, Ventanas aDakota del Norte manzana.





Enlace a la noticia unique