Google и его политика могут более или менее нравиться нам. Но если есть что-то, что, на мой взгляд, было более чем нежелательным, так это его Project Zero, команда, которая исследует все виды программного обеспечения, чтобы найти недостатки в безопасности. Проблема с этим проектом заключалась не в том, что он расследовал, а в том, что он заставлял компании исправлять ошибки, публикуя их почти немедленно. Но если вы заметили, мы говорим в прошедшем времени.
Google опубликовал какой будет ваша новая политика. До сих пор компания великого искателя, позвольте мне использовать выражение, делала «все, что они хотели», что раньше означало нахождение ошибки (кхм, от конкурирующей компании, а не как некоторые это что они заткнулись), они сообщили об этом заинтересованной стороне и опубликовали все данные в течение нескольких часов или дней. Отныне дадут три месяца, или 90 дней Точнее, чтобы у разработчиков было время исправить проблему. По истечении этого времени они опубликуют все подробности.
Project Zero расслабьтесь
Только в том случае, если обе компании (Google и разработчик программного обеспечения) придут к соглашению, детали будут опубликованы до истечения указанных 90 дней. Если нет соглашения, не имеет значения, будет ли устранена неисправность в течение 1, 20 или 90 дней; Google опубликуем детали через три месяца.
Project Zero говорит, что некоторые разработчики связались с ними, чтобы попросить еще больше времени, потому что трех месяцев может быть недостаточно, но Google считает, что в этом нет необходимости. Кроме того, спешка побудит их исправить найденные ошибки, что также будет означать, что эти проблемы безопасности устраняются до обнаружения следующей.
Лично я считаю, что это хорошая новость для всех. Было очень уродливым жестом найти ошибку и опубликовать ее так скоро, поскольку единственными или наиболее пострадавшими были пользователи, которые мы начинали использовать программное обеспечение как минимум с одной публичной уязвимостью. Изменение будет сделано в том году, в который мы только что вошли.