Команда Google Project Zero розповіла, що 95,8% помилок безпеки, знайдених в сторонньому ПЗ, виправляються раніше ніж за 90 днів.
Будь-які помилки, знайдені дослідниками безпеки Google, зазначаються на трекері помилок, а потім надсилаються постачальникам. Вони мають надіслати виправлення протягом 90 днів. Після цього дослідники Google оприлюднюють інформацію про вразливість — з технічними подробицями й кодом для перевірки.
Project Zero функціонує з липня 2014 року і дотепер. За цей час дослідники виявили 1585 вразливостей, що стосуються широкого спектра обладнання і ПЗ. Надіслати виправлення протягом 90 днів не встигли у 66 випадках. Тоді команда була змушена опублікувати технічну інформацію про вразливість ще до того, як користувачі отримали виправлення.
Project Zero критикують через те, що оприлюднені ними описи помилок і коди для перевірки аж занадто деталізовані. Мовляв, ці опубліковані звіти допомагають зловмисникам створювати експлойти для атак.
Однак дослідники переконують: всі ця інформація допомагає насамперед компаніям і системним адміністраторам. Хакери й без того перевірять усі журнали змін і файли, адже мотивації зазвичай вистачає. Натомість компаніям часто потрібна допомога з пошуком вразливостей і захистом.
Ще немає коментарів