menu
menu
logo

Google смягчает условия Project Zero

Корпорация Google объявила о смягчении правил своего проекта Project Zero, в рамках которого исследователи ищут уязвимости ПО и сообщают о них разработчикам. Согласно условиям Project Zero, разработчикам отводится ровно 90 дней на устранение уязвимости, после чего Google публикует информацию об уязвимости. А нередко вместе с ней в качестве доказательства публикуется и код, позволяющий эксплуатировать эту уязвимость.

Отношение к этой практике достаточно противоречивое. Очевидно, что Google стимулирует разработчиков укреплять кибербезопасность. Однако в то же время может и невольно вооружать киберпреступников новыми инструментами и методами атак. Не далее как в начале января Project Zero стал причиной ожесточенного конфликта между Google и Microsoft. Тогда представители Project Zero опубликовали данные об уязвимости в одном из продуктов Microsoft, не пожелав подождать два дня до выхода планового обновления, которое ее устраняло.

Вероятно, осознав, что такая жесткость все же чрезмерна, в Google решили изменить правила игры. Теперь, например, данные об уязвимости не публикуются, если 90-дневный срок истекает в выходной или праздничный день – сообщение откладывается до ближайшего рабочего дня. Но, главное, разработчик получает дополнительные две недели на решение проблемы, если заблаговременно уведомит Google, что в этот срок уязвимость точно будет устранена.

В Microsoft обиду не забыли, и новость прокомментировали весьма сдержанно. Один из специалистов по информационной безопасности корпорации Крис Бетц заявил, что практика публикации данных об уязвимостях и кодов их эксплуатации до решения проблемы по-прежнему может представлять существенную угрозу для пользователей. Он также отметил, что Google стоило бы теснее сотрудничать с разработчиками и проявлять больше гибкости, поскольку различные уязвимости могут требовать и разных сроков для устранения. В Google, однако, не намерены окончательно отказываться от 90-дневного срока, ссылаясь, в частности, на то, что координационный центр по решениям проблем безопасности CERT отводит на ликвидацию обнаруженных уязвимостей вдвое меньшее время – 45 суток.

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте