Google akan menunggu sedikit lebih lama sebelum mempublikasikan detail lubang keamanan hari 0
Project Zero adalah tim Google yang bertugas menemukan celah keamanan dan melaporkannya ke produsen. Bukan tanpa kontroversi karena publikasi sesekali rincian tentang kerentanan sebelum patch tersedia. Jadi Project Zero akan menambahkan periode ke interval pengungkapannya.
Di bawah aturan lama, vendor perangkat lunak memiliki waktu 90 hari untuk merilis patch sejak Google mengungkapkan kerentanan kepada vendor. Apakah itu terjadi atau tidak, itu akan mengungkapkan kerentanan zero-day kepada publik, seringkali dengan detail yang cukup bagi orang jahat untuk menggunakan informasi tersebut untuk membuat eksploitasi. Terakhir, Google telah menambahkan masa tenggang opsional yang mungkin diminta oleh vendor perangkat lunak jika tambalan hampir selesai.
Para kritikus mengatakan tenggat waktu yang sulit membuat publik berisiko jika perusahaan secara aktif bekerja untuk menemukan solusi, tetapi masalahnya sangat kompleks sehingga tidak dapat diselesaikan dalam 90 hari. Yang lain menunjukkan bahwa beberapa perusahaan mungkin tidak ingin membuat patch tanpa hard windows. Tekanan publik membantu membujuk vendor perangkat lunak untuk mengambil tindakan yang mungkin tidak mereka lakukan.
Menemukan bahwa jalan tengah adalah bagian yang sulit, dan Google mengatakan akan melakukan penyesuaian untuk mengatasi kekhawatiran dari komunitas keamanan yang lebih luas. Pada tahun 2021, akan menunggu tambahan 30 hari untuk mengungkapkan detail kerentanan jika vendor merilis patch sebelum jendela 90 berakhir. Idenya adalah memberi waktu kepada pengguna untuk menginstal pembaruan dan melindunginya. Namun, jika penyedia meminta periode perpanjangan, periode tersebut akan dimasukkan dalam periode pembaruan 30 hari.
Itu untuk kasus di mana Google gagal mendeteksi kerentanan keamanan yang sedang disalahgunakan secara aktif. Sebelum itu terjadi, Google mengungkapkan detail lengkapnya dalam waktu tujuh hari setelah pengumuman. Di masa depan, itu akan mengungkapkan kerentanan setelah tujuh hari tetapi menunggu publikasi detail teknis selama 30 hari lagi.
Semua itu hanya berlaku hingga 2021 karena tahun depan Google berencana mempersingkat semuanya windows sinis. Mulai tahun 2022, Project Zero akan beralih ke model “84 + 28” — 84 hari untuk pengungkapan, ditambah 28 hari lagi untuk detail lengkap. Project Zero berharap pemendekannya windows akan mendorong pengembangan patch yang lebih cepat. Ini juga menunjukkan bahwa beralih ke hari yang dapat dibagi tujuh akan mengurangi risiko tenggat waktu jatuh pada akhir pekan — ketika vendor perangkat lunak sering memiliki banyak hari libur.
Sumber: Proyek Nol
