Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free
23.01.2020

Eksport SI pod lupą

Export Control Reform Act
23.01.2020

Orkiestracja na medal

Bug bounty dla Kubernetes
23.01.2020

Długie pożegnanie

Chrome na Windows 7
23.01.2020

Dell XPS 13

Dell zaprezentował najnowszą odsłonę laptopa będącego jednym z najczęstszych wyborów...
23.01.2020

Inteligentne drukowanie

Ricoh IM C300, C400
23.01.2020

Bezpieczny punkt dostępowy

D-Link Covr AC2200
23.01.2020

Elastyczny laptop

Lenovo ThinkPad X1 Fold

Google Project Zero

23-01-2020
Inicjatywa Google Project Zero wielokrotnie w ciągu sześciu lat swojej działalności była krytykowana za bezkompromisowe podejście do egzekwowania zasad łatania odnalezionych luk bezpieczeństwa, szczególnie w kwestii skrupulatności w dotrzymywaniu terminów. Niejednokrotnie zdarzało się, że pracownicy Google ujawniali informacje o podatności po upływie 90 dni od zgłoszenia luki producentowi, nie bacząc na to, czy została ona załatana, czy nie. Były to także luki w systemie Windows, których ujawnienie bywało traktowane jako przejaw tarć pomiędzy obiema korporacjami, czego ofiarami byli końcowi użytkownicy. Argument w postaci ujawnienia PoC miał także pozytywne konsekwencje, gdyż wymuszał na producentach intensywne prace nad bezpieczeństwem swoich produktów. W ostatnim czasie Google Project Zero zdecydował, się jednak wprowadzić zmiany i w 2020 roku testowany będzie nowy harmonogram. Dotychczas informacje o podatności były upubliczniane po 90 dniach od jej zgłoszenia bądź w dzień publikacji łatki. Wyjątki można policzyć na palcach jednej ręki, należy do nich między innymi ujawnienie słynnej podatności Spectre/Meltdown. Według nowych zasad informacja o luce będzie upubliczniana zawsze dopiero po 90 dniach, chyba że obie strony uzgodnią inaczej. Google uzasadnia swoją decyzję zamiarem umożliwienia producentom oprogramowania opracowania wyższej jakości łatek oraz szerszej ich adaptacji, pośpiech mógł się bowiem odbijać na jakości oprogramowania. Główna zasada dotycząca bezwarunkowego ujawniania także niezałatanych podatności po 90 dniach pozostaje niezmieniona.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"