مشروع Google’s Zero يمنح الشركات التقنية وقتًا أطول لإصلاح الثغرات الأمنية


يمنح قسم مطاردة الثغرات الأمنية في Google 30 يومًا إضافيًا قبل نشر التفاصيل عبر الإنترنت.

جوجل

قام فريق Google Project Zero ، وهو فريق من خبراء الأمن الذين توظفهم عملاق البحث بمهمة تعقب ثغرات برنامج يوم الصفر ، بتحديث إرشادات الكشف عن نقاط الضعف الخاصة به.

تضيف السياسة المحدثة نافذة إضافية مدتها 30 يومًا لبعض عمليات الكشف عن الأخطاء الأمنية. قبل ذلك ، كان باحثو Google ينشرون تفاصيل نقاط الضعف على متتبع الأخطاء عبر الإنترنت في نهاية نافذة مدتها 90 يومًا ، أو بعد تصحيح الخطأ.

يعد التصحيح

يمنح الشهر الإضافي (تقريبًا) كلاً من البائعين والمستخدمين وقتًا أطول قليلاً لتطوير ومشاركة وتثبيت التصحيحات اللازمة لبرامجهم قبل مشاركة تفاصيل الثغرة الأمنية عبر الإنترنت. هذه أخبار جيدة منذ اللحظة التي يتم فيها مشاركة تفاصيل الثغرات الأمنية عبر الإنترنت ، فمن المحتمل أن يستخدمها المهاجمون كأسلحة.

على الرغم من إصدار التصحيحات في أغلب الأحيان عند نشر تفاصيل الثغرات الأمنية ، إلا أن ذلك لا يزال يعتمد على قيام المستخدمين بتثبيت التصحيحات بأنفسهم. في بعض الحالات ، يمكن أن تكون هذه مهمة تستغرق وقتًا طويلاً. لذلك ، فإن 30 يومًا الإضافية من Google تعد أخبارًا جيدة.

قال تيم ويليس من Project Zero Vendors: “الهدف من تحديث سياستنا لعام 2021 هو جعل الجدول الزمني لاعتماد التصحيح جزءًا واضحًا من سياسة الكشف عن الثغرات الأمنية لدينا”. مشاركة مدونة واصفا التغيير. “سيكون لدى البائعين الآن 90 يومًا لتطوير التصحيح ، و 30 يومًا إضافيًا لاعتماد التصحيح.”

يعمل Project Zero أيضًا على تمديد فترة السماح الإضافية البالغة 30 يومًا إلى نقاط ضعف يوم الصفر التي يتم استغلالها بنشاط ضد المستخدمين في البرية. في حين أن الموعد النهائي للإفصاح هو سبعة أيام فقط للتصحيح ، فلن يتم نشر التفاصيل الفنية إلا بعد 30 يومًا من الإصلاح – طالما تم إصلاح المشكلة من قبل المطورين. إذا لم يكن الأمر كذلك ، فسيتم نشر التفاصيل الفنية على الفور.

ممتد إلى ثغرات يوم الصفر ، أيضًا

سيتم تطبيق هذه القواعد الجديدة لعام 2021 ، على الرغم من أن الأمور قد تتغير مرة أخرى في المستقبل. كما يشير منشور المدونة: “نفضل اختيار نقطة بداية يمكن أن يفي بها معظم البائعين باستمرار ، ثم خفض المخططات الزمنية لتطوير التصحيح واعتماد التصحيح تدريجيًا.”

يعد الحصول على هذه الأنواع من الإفصاحات بشكل صحيح مهمة شاقة ، وتحقيق التوازن بين مصالح المستخدمين الفضلى وإعطاء المطورين الوقت الكافي لتطوير التصحيح وإصداره. كما يدرك فريق Project Zero بوضوح ، سيستمر تعديل هذا المجال مع تطور إجراءات الأمن السيبراني والتصحيح.

في الوقت الحالي ، على الرغم من ذلك ، سيكون من الصعب عليك اقتراح أن خبراء الأمن في Google لا يفعلون الشيء الصحيح.

حقوق الصورة: ميتشل لو /Unsplash CC

ميزة إيرادات مايكروسوفت
يعمل التصحيح الثلاثاء من Microsoft على إصلاح ثغرة يوم الصفر والأخطاء الحرجة الأخرى

قم بتحديث أنظمة Windows الخاصة بك للحماية من نقاط الضعف الحرجة.

اقرأ التالي


عن المؤلف

تم النشر في
مصنف كـ Uncategorized

اترك تعليقًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *