Google ja sen käytännöt saattavat enemmän tai vähemmän pitää meistä. Mutta jos on jotain, joka mielestäni oli enemmän kuin vastenmielistä, se oli hänen Project Zero, tiimi, joka tutkii kaikenlaisia ohjelmistoja tietoturva-aukkojen löytämiseksi. Tämän projektin ongelmana ei ollut se, että se tutki, vaan se, että se painosti yrityksiä korjaamaan virheet julkaisemalla ne melkein välittömästi. Mutta jos olet huomannut, puhumme menneisyydessä.
Google on julkaistu millainen uusi käytäntösi on. Tähän asti suuren hakijan yritys, anna minun käyttää ilmausta, teki "mitä he vain halusivat", mikä tarkoitti vian löytämistä (ahem, kilpailevalta yritykseltä, ei kuten jotkut se on että he sulkevat), he välittivät sen asianomaiselle osapuolelle ja julkaisivat kaikki tiedot muutamassa tunnissa tai päivässä. Tästä lähtien he antavat kolme kuukautta tai 90 päivää tarkemmin sanottuna, joten kehittäjillä on aikaa korjata ongelma. Tuon ajan kuluttua he julkaisevat kaikki yksityiskohdat.
Project Zero be relax
Vain siinä tapauksessa, että molemmat yritykset (Google ja ohjelmistokehittäjä) pääsevät sopimukseen, tiedot julkaistaan ennen mainittuja 90 päivää. Jos sopimusta ei ole, ei ole väliä, ratkaistaanko vika 1, 20 vai 90 päivässä; Google lähettää tiedot kolmen kuukauden kuluttua.
Project Zero sanoo sen jotkut kehittäjät ovat ottaneet yhteyttä heihin pyytääkseen vielä enemmän aikaa, koska kolme kuukautta ei välttämättä riitä, mutta Google katsoo, että se ei ole välttämätöntä. Lisäksi kiire motivoi heitä korjaamaan löydetyt virheet, mikä tarkoittaa myös sitä, että nämä turvallisuusongelmat korjataan ennen seuraavan löytämistä.
Henkilökohtaisesti mielestäni tämä on hyvä uutinen kaikille. Oli erittäin ruma ele löytää vika ja julkaista se niin pian, koska ainoat tai eniten kärsivät käyttäjät, jotka aloimme käyttää ohjelmistoja, joissa oli ainakin yksi julkinen haavoittuvuus. Muutos tehdään sinä vuonna, johon olemme juuri saapuneet.