کمیته رکن چهارم – تیم امنیت سایبری گوگل در قوانین جدیدش اعلام کرده است که دیرتر از قبل جزئیات باگها را با رسانهها بهصورت عمومی در میان میگذارد.
تیم Project Zero گوگل که متشکل از افرادی زبده در زمینهی امنیت سایبری است، بهتازگی اعلام کرده که در خط مشی خود تغییراتی اعمال کرده و هماکنون بهصورت آزمایشی در حال اجرای آن است. براساس قوانین جدید، تیم پراجکت زیرو قصد ندارد جزئیات آسیبپذیریهای امنیتی را در زمان کوتاهی پس از انتشار بهروزرسانی برای رفع آنها دراختیار رسانهها قرار دهد و بهصورت عمومی منتشر کند. در صفحهی قوانین جدید پراجکت زیرو آمده است که این تیم بدون درنظرگرفتن زمان رفع شدن باگ، بهصورت پیشفرض ۹۰ روز کامل دست نگه میدارد و آسیبپذیریها را رسانهای نمیکند. تیم پراجکت زیرو قصد دارد این رویکرد جدید را بهصورت آزمایشی به مدت یک سال اتخاذ کند و در صورتی که صلاح ببیند پس از گذر یک سال، بهصورت دائمی از آن بهره بگیرد.
براساس قوانین پیشین، محققان تیم پراجکت زیرو به شرکتهایی که در دستگاه آنها آسیبپذیری کشف شده بود ۹۰ روز وقت میداد تا از طریق انتشار بهروزرسانی نرمافزاری، آن را رفع کنند. پس از گذر این ۹۰ روز حتی اگر مشکل یادشده برطرف نشده بود، محققان پراجکت زیرو آن را رسانهای میکردند تا عموم مردم خبردار شوند. بااینحال اگر بهروزرسانی نرمافزاری پیش از پایان آن بازهی زمانی ۹۰ روزه منتشر میشد، تیم پراجکت زیرو آسیبپذیری را زودتر از آنچه وعده داده بود رسانهای میکرد. این موضوع گاهی اوقات میتوانست مشکلساز شود؛ زیرا کاربران برای در امان ماندن از خطر هک شدن باید سریعا دست به کار میشدند و دستگاه خود را بهروزرسانی میکردند. با این اوصاف کسانی که عجله نمیکردند در خطر هک شدن قرار میگرفتند، زیرا با رسانهای شدن آسیبپذیری، هکرهای سودجو نیز از آن باخبر میشدند. هر آسیبپذیری کشفشده احتمالا توسط شرکتها رفع میشود؛ با این حال پیداشدن راهحل بدین معنی نیست که دستگاهها از خطر هک شدن در امان میمانند. درواقع تا زمانیکه کاربران بهروزرسانی را نصب نکنند، همچنان در معرض خطر خواهند بود.
بهلطف قوانین جدید، فرقی ندارد که شرکتها باگهای محصولاتشان را در فاصلهی ۲۰ یا حتی ۹۰ روز پس از اینکه از سوی پراجکت زیرو باخبر شدند رفع کنند؛ تیم امنیت سایبری گوگل برای رسانهای کردن جزئیات آسیبپذیری ۹۰ روز کامل سکوت خواهد کرد و سپس جزئیات آن را با رسانهها در میان خواهد گذاشت. البته براساس اعلام رسمی، دراینزمینه موارد استثنا نیز وجود دارد. اگر بین گوگل و شرکتی که دستگاهش دچار باگ شده توافقی متقابل و قطعی صورت پذیرد، پراجکت زیرو ممکن است افزون بر ۹۰ روز، ۱۴ روز دیگر به شرکت یادشده فرصت دهد تا مشکل را برطرف کند. این توافق تنها در صورتی منعقد خواهد شد که پراجکت زیرو تشخیص دهد رفع مشکل بیشتر از آنچه که باید، طول میکشد. در ضمن تیم پراجکت زیرو به آسیبپذیریهایی که بهصورت گسترده کشف شدهاند و احتمال بهرهبرداری از آنها توسط هکرها وجود دارد، تنها هفت روز مهلت میدهند.
پراجکت زیرو همزمان با دادن فرصت بیشتر به شرکتها برای رفع آسیبپذیری نرمافزاری محصولاتشان، میگوید امیدوار است خط مشی جدیدش در راستای رفع بهتر باگها اثرات مثبتی داشته باشد. در ضمن این قوانین جدید به شرکتها امکان میدهند بهطور دقیق بفهمند که برای رفع مشکل دستگاهشان، چقدر زمان دارند و آسیبپذیری در چه زمانی رسانهای میشود. پراجکت زیرو همچنین میگوید شدیدا مشتاق همکاری بیشتر از سوی شرکتهای مختلف است و از آنها درخواست میکند بهروزرسانیهای امنیتی را در سریعترین زمان ممکن در دسترس قرار دهند تا کاربران متحمل کمترین ضرر و زیان شوند. بهلطف افزایش بازهی زمانی رسانهایشدن آسیبپذیری، بدون شک شرکتها فرصت بیشتری خواهند داشت تا با صرف زمان کافی، مشکلات دستگاهشان را برطرف کنند.
با وجود تغییرات اعمال شده، تیم پراجکت زیرو میگوید از اینکه قوانین قدیمیاش طی سالهای اخیر توانستهاند اثرات بسیار مهمی روی برطرف شدن مشکلات نرمافزاری دستگاههای مختلف داشته باشند، بسیار خوشحال است. پراجکت زیرو که کار خودش را از سال ۲۰۱۴ آغاز کرده، میگوید گاهی اوقات با باگهایی مواجه شده که بهروزرسانی امنیتی مربوط به آنها تا ۶ ماه پس از کشف شدنشان، منتشر نشده است. بااینحال بهلطف قوانین سختگیرانه، ۹۷/۷ درصد باگها در فاصلهی زمانی ۹۰ روزه رفع میشوند.
منبع : زومیت