Google nieco łaskawsze w walce z błędami konkurencji

Google zapowiedział ostrą walkę z deweloperami, którzy nie łatają dziur w swoim oprogramowaniu, grożąc, że po 90 dniach od braku interwencji ujawni informacje o luce. Dziś firma nieco łagodzi swoją politykę.

Project Zero, który wystartował w ramach Google rok temu, ma za zadanie poprawić bezpieczeństwo użytkowników w sieci i wyłapywać luku typu zero day zarówno w oprogramowaniu, jak i usługach sieciowych. Gdy zespół inżynierów Google znajdował taką lukę, dawał deweloperom 90 dni na jej załatanie, a po tym czasie, jeśli nie podjęto działań mających naprawić błędy w kodzie, upubliczniano informacje o luce.

Firma wierzyła, że taka groźba pozytywnie wpłynie na deweloperów i zrobią oni wszystko, by w trzy miesiące usunąć groźne luki. Przez sieć przelała się fala krytyki, użytkownicy zarzucali Google nieuczciwą konkurencję i nieetycznie działanie. Firma z Mountain View ugięła się i wydłuża czasz na poprawki w ramach Project Zero.

Od teraz, jeśli deweloper zgłosi się do Google i udowodni, ze pracuje nad łatką, ale w 90 dni nie uda się jej wypuścić, zespół Project Zero może wydłużyć czas na wprowadzenie zmian o 14 dni. Dopiero jeśli po tych dodatkowych dwóch tygodniach łatka nie będzie gotowa, Google ujawni informacje o luce bezpieczeństwa. Firma zgodziła się także uwzględniać w tym kalendarzu dni świąteczne i weekendy, co ma pozwolić zespołom deweloperów opracować łatkę na czas, bez konieczności pracy w dni ustawowo wolne.

Google zdecydował się na złagodzenie swojej polityki po ostatnim spięciu z Microsoftem. Zespół Project Zero spotkał się z ostrą krytyką po tym, jak ujawnił informacje o luce w Windowsie 8.1 na dwa dni przed wypuszczeniem przez Microsoft stosownej łatki.

Chociaż Google nie ma zamiaru zrezygnować ze swojej inicjatywy, wyciągnął wnioski z ostatniego sporu i będzie starał się ściślej współpracować z deweloperami. Firma zaznacza jednocześnie, że na tle innych podmiotów wyszukujących luki typu zero day, 90 dni na poprawki plasuje się w środku stawki. Program Zero Day Initiative, który nagradza użytkowników, którzy odnajdują tego typu błędy w oprogramowaniu, daje deweloperom na poprawki aż 120 dni, zaś CERT, który prowadzi podobny program, zaledwie 45 dni.

Źródło

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *