Политика и раскрытие информации: издание 2025 года

"Команда Google Project Zero обновила свою политику раскрытия уязвимостей до модели "90+30", стремясь к более быстрому развитию и внедрению исправлений. Однако, остается значимая проблема: "пробел в исправлениях", задержка между выпуском исправления и его установкой пользователем. Команда Project Zero идентифицировала более раннюю задержку, "пробел в исправлениях upstream", где поставщики upstream имеют исправления, но зависимые downstream не интегрировали их. Этот пробел upstream значительно увеличивает жизненный цикл уязвимостей. Для решения этой проблемы объявляется новая пробная политика, "Прозрачность отчетности". Эта пробная политика добавляет публичное раскрытие в течение недели после сообщения об уязвимости, включая поставщика, продукт, дату сообщения и дедлайн раскрытия. Основная политика "90+30" остается, и Google Big Sleep также тестирует эту политику. Целью является уменьшение пробела в исправлениях upstream, увеличивая прозрачность, информируя зависимые downstream и поощряя лучшую коммуникацию. Целью пробного периода является отслеживание времени от сообщения до установки исправления на устройстве пользователя, подчеркивая, когда исправления не применяются. Никакие технические подробности не будут выпущены до дедлайна; это предупреждение, а не инструкция для атакующих. Хотя некоторые поставщики могут столкнуться с нежелательным вниманием, преимущества перевешивают риски для меньшинства. Конечной целью является более безопасная экосистема с уязвимостями, исправленными на устройствах пользователей. Это проба, и Project Zero будет отслеживать ее эффекты и адаптировать политики соответственно."