قام فريق Google Project Zero، وهو فريق من خبراء الأمن الذين توظفهم عملاق البحث بمهمة تعقب ثغرات برنامج يوم الصفر، بتحديث إرشادات الكشف عن نقاط الضعف الخاصة به.
تضيف السياسة المحدثة نافذة إضافية مدتها 30 يومًا لبعض عمليات الكشف عن أخطاء الأمان. قبل ذلك، كان باحثو Google ينشرون تفاصيل نقاط الضعف على متتبع الأخطاء عبر الإنترنت في نهاية نافذة مدتها 90 يومًا، أو بعد تصحيح الخطأ.
يعد التصحيح Longer to Patch
يمنح الشهر الإضافي (تقريبًا) كلاً من البائعين والمستخدمين وقتًا أطول قليلاً لتطوير ومشاركة وتثبيت التصحيحات اللازمة لبرامجهم قبل مشاركة تفاصيل الثغرة الأمنية عبر الإنترنت. هذه أخبار جيدة منذ اللحظة التي يتم فيها مشاركة تفاصيل الثغرات الأمنية عبر الإنترنت، فمن المحتمل أن يستخدمها المهاجمون كأسلحة.
على الرغم من إصدار التصحيحات في أغلب الأحيان عند نشر تفاصيل الثغرات الأمنية، إلا أن ذلك لا يزال يعتمد على قيام المستخدمين بتثبيت التصحيحات بأنفسهم. في بعض الحالات، يمكن أن تكون هذه مهمة تستغرق وقتًا طويلاً. لذلك، فإن 30 يومًا الإضافية من Google تعد أخبارًا جيدة.
قال Tim Willis من Project Zero Vendors في منشور مدونة يصف التغيير: "الهدف من تحديث سياسة 2021 هو جعل الجدول الزمني لاعتماد التصحيح جزءًا واضحًا من سياسة الكشف عن الثغرات الأمنية لدينا". "سيكون لدى البائعين الآن 90 يومًا لتطوير التصحيح، و 30 يومًا إضافيًا لاعتماد التصحيح".
يعمل Project Zero أيضًا على تمديد فترة السماح الإضافية البالغة 30 يومًا لتشمل ثغرات Zero Day التي يتم استغلالها بنشاط ضد المستخدمين في البرية. في حين أن الموعد النهائي للإفصاح هو سبعة أيام فقط للتصحيح، فلن يتم نشر التفاصيل الفنية إلا بعد 30 يومًا من الإصلاح - طالما تم إصلاح المشكلة من قبل المطورين. إذا لم يكن الأمر كذلك، فسيتم نشر التفاصيل الفنية على الفور.
ممتد إلى ثغرات Zero Day، أيضًا
سيتم تطبيق هذه القواعد الجديدة لعام 2021، على الرغم من أن الأمور قد تتغير مرة أخرى في المستقبل. كما يشير منشور المدونة: "نفضل اختيار نقطة بداية يمكن أن يفي بها معظم البائعين باستمرار، ثم خفض المخططات الزمنية لتطوير التصحيح واعتماد التصحيح تدريجيًا."
يعد الحصول على هذه الأنواع من الإفصاحات بشكل صحيح مهمة شاقة، وتحقيق التوازن بين مصالح المستخدمين الفضلى وإعطاء المطورين الوقت الكافي لتطوير التصحيح وإصداره. كما يدرك فريق Project Zero بوضوح، سيستمر تعديل هذا المجال مع تطور إجراءات الأمن السيبراني والتصحيح.
في الوقت الحالي، على الرغم من ذلك، ستتعرض لضغوط شديدة للإشارة إلى أن خبراء الأمن في Google لا يفعلون الشيء الصحيح.
تضيف السياسة المحدثة نافذة إضافية مدتها 30 يومًا لبعض عمليات الكشف عن أخطاء الأمان. قبل ذلك، كان باحثو Google ينشرون تفاصيل نقاط الضعف على متتبع الأخطاء عبر الإنترنت في نهاية نافذة مدتها 90 يومًا، أو بعد تصحيح الخطأ.
يعد التصحيح Longer to Patch
يمنح الشهر الإضافي (تقريبًا) كلاً من البائعين والمستخدمين وقتًا أطول قليلاً لتطوير ومشاركة وتثبيت التصحيحات اللازمة لبرامجهم قبل مشاركة تفاصيل الثغرة الأمنية عبر الإنترنت. هذه أخبار جيدة منذ اللحظة التي يتم فيها مشاركة تفاصيل الثغرات الأمنية عبر الإنترنت، فمن المحتمل أن يستخدمها المهاجمون كأسلحة.
على الرغم من إصدار التصحيحات في أغلب الأحيان عند نشر تفاصيل الثغرات الأمنية، إلا أن ذلك لا يزال يعتمد على قيام المستخدمين بتثبيت التصحيحات بأنفسهم. في بعض الحالات، يمكن أن تكون هذه مهمة تستغرق وقتًا طويلاً. لذلك، فإن 30 يومًا الإضافية من Google تعد أخبارًا جيدة.
قال Tim Willis من Project Zero Vendors في منشور مدونة يصف التغيير: "الهدف من تحديث سياسة 2021 هو جعل الجدول الزمني لاعتماد التصحيح جزءًا واضحًا من سياسة الكشف عن الثغرات الأمنية لدينا". "سيكون لدى البائعين الآن 90 يومًا لتطوير التصحيح، و 30 يومًا إضافيًا لاعتماد التصحيح".
يعمل Project Zero أيضًا على تمديد فترة السماح الإضافية البالغة 30 يومًا لتشمل ثغرات Zero Day التي يتم استغلالها بنشاط ضد المستخدمين في البرية. في حين أن الموعد النهائي للإفصاح هو سبعة أيام فقط للتصحيح، فلن يتم نشر التفاصيل الفنية إلا بعد 30 يومًا من الإصلاح - طالما تم إصلاح المشكلة من قبل المطورين. إذا لم يكن الأمر كذلك، فسيتم نشر التفاصيل الفنية على الفور.
ممتد إلى ثغرات Zero Day، أيضًا
سيتم تطبيق هذه القواعد الجديدة لعام 2021، على الرغم من أن الأمور قد تتغير مرة أخرى في المستقبل. كما يشير منشور المدونة: "نفضل اختيار نقطة بداية يمكن أن يفي بها معظم البائعين باستمرار، ثم خفض المخططات الزمنية لتطوير التصحيح واعتماد التصحيح تدريجيًا."
يعد الحصول على هذه الأنواع من الإفصاحات بشكل صحيح مهمة شاقة، وتحقيق التوازن بين مصالح المستخدمين الفضلى وإعطاء المطورين الوقت الكافي لتطوير التصحيح وإصداره. كما يدرك فريق Project Zero بوضوح، سيستمر تعديل هذا المجال مع تطور إجراءات الأمن السيبراني والتصحيح.
في الوقت الحالي، على الرغم من ذلك، ستتعرض لضغوط شديدة للإشارة إلى أن خبراء الأمن في Google لا يفعلون الشيء الصحيح.
