Google Project Zero: 96 % lukenj se zakrpa pravočasno

Objavljeno: 3.8.2019 05:00 | Teme: varnost

Najbolj znan projekt iskanja ranljivosti v programski opremi je Googlov Project Zero, ki teče od julija 2014. V tem času so Googlovi raziskovalci odkrili 1585 ranljivosti v programski ali strojni opremi drugih proizvajalcev. Ti so popravke v 96 % odstotkih primerov izdali pravočasno.

Google se namreč striktno drži pravila, da po 90 dneh podrobnosti o ranljivosti razkrijejo javnosti. S tem pritiska na avtorje programske opreme, da se podvizajo pri izdaji popravka, saj z javnim razkritjem ranljivosti postane oprema resnično ne varna. Google pravi, da v veliki večini težav ni, saj so doslej imeli le 66 primerov, kar predstavlja približno 4 odstotke.

Ob tem omenimo še, da je Google že leta 2015 nekoliko zrahljal omejitev, saj je 90 dnem dodal še 14 dni, ki jih lahko avtorji programske opreme dobijo. To je bilo možno v primerih, ko je bil popravek narejen, a so ga podjetja želela izdati v skladu z obstoječim urnikom posodobitev (npr. Microsoftovi torki), zaradi česar bi prekoračila 90-dnevno omejitev. Google še dodaja, da tudi kadar razkrijejo ranljivost, to storijo tako, da je nepridipravi ne morejo neposredno uporabiti.

V preteklosti sta se Google in Microsoft zapletla v nekaj sporov, ko je Google objavil podrobnosti o ranljivosti po 90 dneh, medtem ko je Microsoft želel nekaj še nekaj časa za pripravo in distribucijo popravkov.

ZDNet

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki