Проектный Нуль Google помещает ограничение по времени на исправление дефектов программного обеспечения, который раздражает поставщиков программного обеспечения. Но твердые сроки могут улучшить безопасность.В начале января Проектное Нулевое-a 6-месячное усилие Google искать для ошибок в выпущенном от программного обеспечения популярном, во второй раз, информацию об уязвимости в программном обеспечении Microsoft перед крупнейшим разработчиком программного обеспечения исправило проблему.
Не две недели спустя, Google принял те же меры для проблем безопасности в продуктах Apple.Google утверждал, что содержание каждого поставщика программного обеспечения к 90-дневному сроку улучшит безопасность.
Но представляя проблемы безопасности в продуктах двух из крупнейших компаний-разработчиков программного обеспечения, Проектный Нуль стал последним центром в дебатах между исследователями, которые обычно одобряют раскрытие их усилий и поставщиков программного обеспечения, которые быть бы, что уязвимости остаются скрытыми.Когда Google выпустил информацию о дефектах в программном обеспечении Microsoft 11 января, за два дня до того, как крупнейший разработчик программного обеспечения запланировал исправлять проблему, Крис Бец, старший директор Центра ответа безопасности Microsoft (MSRC), взял к блогу компании для критики тактики Google.«Несмотря на то, что выполнение придерживается временной шкалы Google, о которой объявляют, для раскрытия, решение чувствует меньше как принципы и больше как ‘глюк’ с клиентами те, кто может перенести в результате» Беца, записал. «Что является правильным для Google, является не всегда правильным для клиентов. Мы убеждаем Google сделать защиту клиентов нашей коллективной основной целью».
Дебаты по тому, как лучше всего раскрыть уязвимости, всегда были спорны, колеблясь за прошлые два десятилетия, с пользователями программного обеспечения обычно оставлял ощущение себя уязвимым в середине.В 2000 исследователь в области безопасности, известный как «Щенок Дождевого леса», выпустил программный документ, который установил роли и обязанности деятелей в процессе раскрытия уязвимости. Документ также дал боеприпасы поставщиков программного обеспечения против исследователей, которые раскрыли полное изложение уязвимостей, не давая соответствующее время для исправления.Девять лет спустя, однако, поскольку Microsoft и другие поставщики программного обеспечения оказывают больше давления на исследователей, чтобы «ответственно» раскрыть уязвимости, координируя с разработчиками программного обеспечения, группа из трех известных исследователей запустила перемещение, известное как «Никакие Более бесплатные Ошибки», выделив это, исследователей все более и более просили помочь фиксировать программное обеспечение поставщиков без компенсации.
Сторонние программы субсидии, такие как Инициатива Нулевого дня, сделали платеж за уязвимости более приемлемым.Последний вопрос в дебатах состоит в том ли сроки и все более короткие, безопасность помощи в конечном счете, вынуждая поставщиков быть более быстро реагирующим и инвестировать в гибкую инфраструктуру исправления. Инициатива Нулевого дня утверждает, что делает и сократила свой общий срок для поставщиков к 120 дням с 180 дней, сказал Брайан Горенк, менеджер исследования уязвимости для безопасности HP Исследование, eWEEK.«Мы приветствуем программы как Проектный Нуль», сказал он. «Сроки предоставляют этим поставщикам дополнительное нажатие для фиксирования этих уязвимостей».
Исследование девяти лет данных ZDI показало, что поставщики быстро адаптировались к срокам, произведя патчи более быстро, сказал Горенк. Данные убедили HP сокращать свой собственный срок к 120 дням. За следующие пять лет программа, вероятно, уменьшит срок снова.
Все же Microsoft утверждает, что быстрее не всегда лучше. Производитель программного обеспечения, который имел его собственное спорное отношение с научным сообществом, ввел термин «ответственное раскрытие» для описания исследователей, которые работают с поставщиками.
Компания в конечном счете рассчиталась на вызове их подхода, «координировал раскрытие» и не поддерживает полное раскрытие подробных данных уязвимости.«Те в пользу полного, общедоступного раскрытия полагают, что этот метод продвигает поставщиков программного обеспечения фиксировать уязвимости более быстро и заставляет клиентов разработать и принять меры для защиты себя – мы не соглашаемся», записал Бец. «При выпуске информации отсутствующий контекст или установленный путь к дальнейшим мерам защиты незаконно оказывают давление на уже сложную техническую среду».
Другие исследователи указывают, что даже Google имел бы проблемы при соблюдении его собственных сроков.«Насколько мы видим, высокая лошадь Google, приблизительно 90 дней, будучи достаточно для ‘широко доступного патча’ действительно не подтверждены в его собственной экосистеме Android», заявил Пол Даклин, глава технологии для фирмы-производителя антивирусного ПО Sophos, в сообщении в блоге по проблеме.
«Патчи безопасности могут превратить его в Проект Открытого исходного кода Android Google всего через несколько дней, какой вид – делает их ‘широко доступными’, все же те те же патчи часто не могут развертываться пользователями Android в течение многих недель, месяцев, лет, возможно даже никогда».