Project Zero
@android_core
Project Zero - это подразделение безопасности Google, которое было основано в 2014 году. Основной задачей команды является обнаружение уязвимостей нулевого дня (неизвестны/не устранены/против которых ещё не разработаны защитные механизмы).
«Heartbleed» - это один из таких эксплойтов нулевого дня, о котором две отдельные группы безопасности сообщили в OpenSSL. Одна из этих групп безопасности работала под управлением Google и в конечном итоге привела к созданию Project Zero. Ошибка была обнаружена в апреле 2014 года, сборка OpenSSL с исправленной ошибкой была выпущена несколько дней спустя вместе с полной информацией об этой ошибке. Полное раскрытие означало, что системы, которые не были обновлены немедленно, подвергались риску и как правило, это побуждало команды разработчиков обновлять свой софт.
С тех пор Project Zero от Google работает аналогичным образом. Когда обнаруживается ошибка нулевого дня, команда в частном порядке сообщает об этом любой компании, владеющей программным обеспечением. Со дня раскрытия у компании есть 90 дней, чтобы исправить ошибку. Если они исправят это до завершения 90-дневного периода, Google опубликует подробности об этой уязвимости. Если 90 дней пройдут без исправления, команда всё равно выпустит информацию об уязвимости для того, чтобы пользователи знали о проблемах, которые могут возникнуть у используемого ими программного обеспечения, и в то же время потенциально мотивировала компанию работать быстрее. Есть один недостаток, с которой столкнулись производители, компании могут быть не в состоянии обновить свои системы достаточно быстро, прежде чем стать жертвами эксплуатации. По этой причине команда Project Zero объявила, что в течение этого года они будут ожидать 90 дней независимо от того, насколько быстро (или медленно) устранена уязвимость. В том же сообщении в блоге команда Project Zero также объявила о ряде других небольших изменений. Google также с гордостью сообщает, что 97,7% всех обнаруженных проблем решаются в течение 90-дневного периода.
Источник - XDA
Создано с помощью Telegraph X