Google ja selle eeskirjad võivad meile enam-vähem meeldida. Aga kui on midagi, mis minu arvates oli rohkem kui taunitav, oli see tema oma Project Zero, meeskond, kes uurib igasugust tarkvara turvavigade leidmiseks. Selle projekti probleem ei seisnenud selles, et see uuris, vaid selles, et see avaldas ettevõtetele survet vead parandada, avaldades need peaaegu kohe. Aga kui olete märganud, räägime minevikus.
Google on avaldanud milline saab olema teie uus poliitika. Siiani oli suure otsija seltskond, lubage mul kasutada väljendit, "mida iganes nad tahtsid", mis varem tähendas vea leidmist (ahem, konkureerivast ettevõttest, mitte nagu mõned see on et nad vaikivad), teatasid nad sellest huvitatud osapoolele ja avaldasid kõik andmed tundide või päevade jooksul. Nüüdsest annavad nad kolm kuud või 90 päeva täpsemalt, nii et arendajatel on aega probleemi lahendada. Pärast seda ajavahemikku avaldavad nad kõik üksikasjad.
Projekt Zero be relax
Ainult juhul, kui mõlemad ettevõtted (Google ja tarkvaraarendaja) kokkuleppele jõuavad, avaldatakse üksikasjad enne mainitud 90 päeva. Kui kokkulepet pole, pole vahet, kas rike lahendatakse 1, 20 või 90 päevaga; Google postitab üksikasjad kolme kuu pärast.
Projekt Zero ütleb seda mõned arendajad on nendega ühendust võtnud, et veelgi rohkem aega küsida, sest kolmest kuust ei pruugi piisata, kuid Google arvab, et see pole vajalik. Lisaks motiveerib kiirustamine neid leitud vigu parandama, mis tähendab ka seda, et need turvaprobleemid parandatakse enne järgmise leidmist.
Isiklikult arvan, et see on hea uudis kõigile. See oli väga kole žest leida viga ja see nii kiiresti avaldada, kuna ainsad või enim mõjutatud olid kasutajad, kes hakkasime kasutama tarkvara, millel oli vähemalt üks avalik haavatavus. Muudatus tehakse aastal, kuhu me just sisenesime.