Google Adds Grace Period для разработчиков программного обеспечения для фиксации безопасности дефекты

google

В дополнение к 90-дневному сроку Гугл дал разработчикам ПО дополнительный 14-дневный льготный период для выпуска патча прежде публично раскрыть недостаток.«Не обращая внимания на то, что исполнение придерживается временной шкалы Гугл, о которой объявляют, для раскрытия, ответ ощущает меньше как правила и больше как «глюк» с клиентами те, кто может перенести в следствии» Криса Беца, сообщил главный директор Микрософт Конфиденциальных вычислений. «Что есть верным для Гугл, есть не всегда верным для клиентов», отметил Бец в убеждении компании уважать координируемый процесс раскрытия уязвимости.

Исследователи в области безопасности кроме этого критиковали Гугл за установление страшного прецедента и заявили, что компания была бы лучше обслужена, фокусируя изучение уязвимости в области его собственных продуктов, а не тех из вторых.«Мы полагаем, что политические обновления все еще строго соответствуют отечественному жажде улучшить отраслевое время отклика до неточностей безопасности, но приведут к более мягким приземлениям для неточностей незначительно за срок», отметило сообщение в блоге.Но кое-какие исследователи в области безопасности и поставщики ПО критиковали и политики и исследование раскрытия. Микрософт, например, сравнительно не так давно стёрла с лица земли Гугл по окончании последних раскрытых подробных информации об неточности нулевого дня в продукте Микрософт всего за два дня перед тем, как исправление было запланировано к выпуску.

Google публично раскрыл недостатки ПО, в то время, когда поставщикам ПО, включая Микрософт, не удалось исправить недостатки перед Проектным Нулевым сроком.Микрософт утверждала, что уведомила Гугл об исправлении и упрекнула компанию за то, что она не пододвинула раскрытие обратно не обращая внимания на получение предостережения.В то время, когда Гугл находит уязвимость совокупности обеспечения безопасности в высококлассном программном продукте, существует хороший шанс, что кибер соперники знают об этом кроме этого, заявила компания.

Недавнее политическое обновление не упоминает ни одной критики, но вместо этого пытается еще раз повторить позицию Гугл по теме. Сроки нужны, дабы вынудить поставщиков фиксировать неприятности безопасности в течение соответствующего времени, заявила компания.Гугл обрисовал изменение политики как ответ на обратную сообщение, которую это получило от внешних источников на ее Проектной Нулевой программе. Пара точек данных, каковые компания собрала на упрочнении кроме этого, поддерживают увеличенную гибкость, отмеченный Гугл.

Гугл запустил Проектный Нуль в прошлом июле как программу, предназначенную для раскрытия уязвимостей совокупности обеспечения безопасности в обширно применяемых программных продуктах от любого поставщика. Компания приняла на себя обязательство нанимать «лучших фактически склонных исследователей в области безопасности», дабы думать через популярные программные продукты и идентифицировать уязвимости, каковые подвергают пользователей риску для того чтобы ПО.

В каком, думается, ответ на недавнюю критику, Гугл сказал, что 14-дневный льготный период к его 90-дневному сроку для поставщиков ПО для исправления уязвимостей совокупности обеспечения безопасности сказал им в соответствии со спорной Проектной раскрытия уязвимости и Нулевой программой исследования поискового гиганта.В течение сроков раскрытия, каковые истекают в выходные либо праздник, Гугл переместит срок в следующий рабочий сутки, сообщили члены Проектной Нулевой команды в сообщении в блоге.Проектный Нуль предлагает поставщикам до 90 дней для исправления недостатков, о которых Гугл информирует им. Затем компания машинально раскрывает уязвимость независимо от того, дешёв ли патч либо нет.

Гугл снял Проектный Нуль в качестве альтруистического упрочнения улучшить Защиту в Интернете от имени клиентов. Обо всех неточностях, найденных в соответствии с программой, информируют конкретно поставщику и после чего позднее — по окончании того, как исправление будет доступно — внешней базе данных. Компания поддерживает, что ни в коем случае не будет информировать об неточностях третьим лицам и выразила ее готовность трудиться с поставщиками на патчах безопасности.Практически, 85 процентов этих 154 неточностей, раскрытых Проектной Нулевой командой начиная с упрочнения, были запущены, были фиксированы в течение 90 дней.

С октября 2014 95 процентов всех неточностей, о которых информируют, были исправлены в пределах того срока, было сообщено в блоге.Анализ сведений Проектного Нуля до сего времени говорит о том, что 90 дней являются разумным сроком для поставщика для фиксации известного недостатка безопасности, сообщил Google. Команда Adobe Flash, к примеру, фиксировал все 37 недостатков, о которых информируют, сказал ему в течение 90-дневного периода.

«Мы остаемся преданными обработке всех поставщиков строго одинаково. Гугл ожидает проводиться к тому же стандарту», отметил Гугл.


8 thoughts on “Google Adds Grace Period для разработчиков программного обеспечения для фиксации безопасности дефекты

  1. Вот так и у нас человек вдохновившись с утра решил макнуть перо и пописать немного об электромобильном развитии . Наполнил информационное пространство .

  2. не, на следующие выборы президента Украины Путину надо выдвигать свою кандидатуру… думаю, что у его соперников не будет ни единого шанса… % проголосовавших за Путина будет как в Крымском референдуме…)))

Добавить комментарий