تیم Project Zero گوگل برای رفع نقص امنیتی مهلت بیشتری به توسعه‌دهندگان می‌دهد

تیم امنیتی پروژه زیرو گوگل (Google Project Zero) در بیانیه‌ای اعلام کرده است ۳۰ روز بیشتر از قبل برای تشریح عمومی جزئیات آسیب‌پذیری‌ها صبر می‌کند تا توسعه‌‌دهندگان زمان کافی برای رفع کردن آسیب‌پذیری در اختیار داشته باشند. بدین ترتیب توسعه‌دهندگان همچنان ۹۰ روز زمان در اختیار دارند تا باگ‌های عادی را برطرف کنند و در صورتی که به زمان بیشتر نیاز داشته باشند، می‌توانند درخواست دهند تا ۱۴ روز مهلت اضافه به آن‌ها داده شود.

با همه‌ی این‌ها گوگل از این پس ۳۰ روز دیگر هم صبر می‌کند و در صورتی که مشکل امنیتی رفع نشده بود، جزئیات را به‌صورت عمومی اعلام می‌کند.

برای آن دسته از آسیب‌پذیری‌هایی که به شکل فعالانه موردبهره‌برداری واقع می‌شوند (آسیب‌پذیری‌های صفر روزه)، شرکت‌ها مثل قبل هفت روز زمان دارند که آسیب‌پذیری را رفع کنند و در صورت نیاز سه روز مهلت اضافه به آن‌ها داده می‌شود. آن‌طور که انگجت گزارش می‌دهد، گوگل اکنون ۳۰ روز دیگر برای تشریح جزئیات فنی آسیب‌پذیری‌های صفر روزه نیز صبر می‌کند.

پروژه زیرو تیمی امنیتی در گوگل است که از متخصصان زبده‌ی حوزه‌ی نرم‌افزار تشکیل شده و به‌دنبال آسیب‌پذیری پلتفرم‌ها و اپلیکیشن‌ها می‌گردد. تیم امنیتی گوگل سپس جزئیات آسیب‌پذیری را با توسعه‌دهنده در میان می‌گذارد و در صورتی که توسعه‌دهنده در زمان تعیین‌شده نتواند آسیب‌پذیری را رفع کند، جزئیات را رسانه‌ای می‌‌کند تا کاربران از خطر مطلع باشند.

سال گذشته‌ی میلادی گوگل اعلام کرد زمان بیشتری به توسعه‌دهندگان می‌دهد تا آسیب‌پذیری‌ها را رفع کنند و امیدوار بود آسیب‌پذیری‌ها خیلی زود رفع شوند تا کاربران زمان کافی برای پچ کردن دستگاه‌هایشان در اختیار داشته باشند. تیم ویلیز، از اعضای پروژه زیرو گوگل، می‌گوید: «بااین‌حال در عمل تغییری درخورتوجه در زمان‌بندی توسعه‌ی به‌روزرسانی امنیتی مشاهده نکردیم و همچنان به دریافت بازخورد از تولیدکنندگان ادامه دادیم. تولیدکنندگان به ما گفتند دررابطه‌با افشای عمومی جزئیات فنی آسیب‌پذیری‌ها پیش از نصب شدن پچ توسط اکثر کاربران، نگران هستند».

در واقع تولیدکنندگان می‌گویند اگر گوگل در زمانی سریع پس از رفع شدن آسیب‌پذیری جزئیات را منتشر کند، هنوز افراد زیادی به‌روزرسانی را نصب نکرده‌اند و دستگاه‌شان آسیب‌پذیر است؛ بنابراین هکرهای سودجو می‌توانند دستگاه‌های آسیب‌پذیر را هدف قرار دهند. 

اکنون توسعه‌دهندگان دارای همان مهلت ۹۰ روزه یا هفت روزه برای توسعه‌ی به‌روزرسانی امنیتی هستند و کاربران عادی ۳۰ روز زمان دارند به‌روزرسانی امنیتی را پیش از انتشار عمومی جزئیات فنی آن نصب کنند. اگر توسعه‌دهندگان خواستار مهلت بیشتر باشند، این مهلت در قالب ۳۰ روزِ اضافه‌ای که گوگل به‌تازگی در نظر گرفته است حساب می‌شود و این یعنی در هر صورت آسیب‌پذیری‌های عادی و صفر روزه به‌ترتیب پس از گذر ۱۲۰ روز و ۳۷ روز رسانه‌ای می‌شوند. اگر توسعه‌دهنده نتواند پچ را در زمان مقرر منتشر کند، جزئیات آسیب‌پذیری‌های عادی و صفر روزه به‌ترتیب در عرض ۹۰ روز و هفت روز به‌صورت عمومی منتشر می‌شود.

 سیاست جدید گوگل در سال ۲۰۲۱ عملیاتی می‌شود و احتمال دارد در سال آینده‌ی میلادی شاهد اعمال تغییراتی در آن باشیم. گوگل در بخش پایانی بیانیه‌ای که روی وبلاگ پروژه زیرو منتشر کرده است می‌نویسد: «ترجیح ما این است زمانی را در نظر بگیریم که توسعه‌دهندگان بتوانند به‌صورت مداوم با آن تطبیق پیدا کنند و سپس به‌صورت تدریجی مدت‌زمان توسعه‌ی پچ و نصب آن را کاهش دهیم».