Project Zero ใจดี ขยายระยะเวลาเปิดเผยข้อมูลช่องโหว่อีก 30 วัน ให้เวลาคนอัพเดตแพตช์

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 16 เมษายน 2021.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ

    ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี

    นโยบายใหม่ของ Project Zero จะขยับเลขเป็น 90+30 และ 7+30 ด้วยเหตุผลว่าเพิ่มเวลาอีก 30 วัน เพื่อให้ผู้ใช้ทยอยติดตั้งแพตช์เป็นจำนวนมากๆ ก่อนเปิดเผยข้อมูลแพตช์

    ทีมงาน Project Zero ระบุว่าเหตุผลที่ต้องปรับ เป็นเพราะพบว่าฝั่งผู้ใช้งานมีระยะเวลาหน่วงของการอัพเดตแพตช์อยู่พอสมควร (กว่าจะอัพเดตแพตช์กันเยอะๆ ใช้เวลานาน) จึงขยายเวลาตรงนี้ให้เพิ่มเติม แต่ก็บอกว่าอาจปรับเปลี่ยนสูตรนี้ในอนาคต เช่น จาก 90+30 กลายเป็น 84+28 แทนในปี 2022

    [​IMG]

    ที่มา - Project Zero

    Topics: Project ZeroSecurity PatchSecurityGoogle
     

แบ่งปันหน้านี้