Проект Zero от Google ужесточает требования к компаниям с небрежной политикой обновления безопасности

У Google Inc. есть элитная команда хакеров и программистов, называемая Project Zero, названная так в честь уязвимостей безопасности “нулевого дня”, которые эксплуатируются до того, как разработчики узнают о них.

Project Zero проверяет свое и конкурентное программное обеспечение на наличие уязвимостей в безопасности, устанавливая компаниям крайний срок, а именно 90-дневный ультиматум для исправления уязвимостей в их программном обеспечении, иначе они сделают их известными общественности.

В попытке “мотивировать” конкурентов, таких как Microsoft Corp. и Apple Inc., исправить их проблемное программное обеспечение до того, как настоящие киберпреступники воспользуются уязвимостями в их незащищенном коде. Конечно, ни Microsoft, ни Apple не рады этому.

Противники практики Project Zero от Google утверждают, что это ставит под угрозу онлайн-безопасность, раскрывая уязвимости до того, как они могут быть устранены. Конечно, хакеры, осведомленные о ситуации, действуют быстро, чтобы целенаправленно эксплуатировать уязвимости программного обеспечения, когда они становятся известными.

Вспомните, когда поддерживаемые Китаем злоумышленники использовали уязвимость веб-безопасности, известную как Heartbleed, чтобы атаковать Community Health Systems Inc. всего через неделю после того, как уязвимость была обнародована.

Даже Apple умоляла Google подождать, прежде чем делать это публичным, чтобы она могла исправить свои уязвимости в операционной системе Mac OS X. Google знала, что исправление уже на подходе и имела доступ к обновленному исходному программному обеспечению, так как в то время также выступала в качестве разработчика для Apple. Google отказалась и обнародовала все детали уязвимостей. Microsoft также запросила дополнительное время для исправления уязвимости в своей операционной системе Windows. Google снова отказалась и обнародовала ошибку.

Сторонники Google утверждают, что жесткий подход Project Zero с 90-дневным сроком может мотивировать индустрию программного обеспечения сосредоточиться на лучших практиках обновления безопасности, в то время как компаниям может потребоваться месяцы или годы для исправления своих ошибок.

На сегодняшний день Project Zero от Google выявила 39 уязвимостей в продуктах Apple и 20 в продуктах Microsoft. Команда также обнаружила 37 уязвимостей в программном обеспечении Adobe Systems Inc. и 22 в библиотеке разработки программного обеспечения FreeType для рендеринга шрифтов.

Это хорошо для потребителей, что Project Zero от Google взяла на себя роль “исправь или мы сообщим” как строгий контролер, так как многие из продуктов этих компаний могут оставлять пользователей уязвимыми для взломов, которые могут создать больше проблем и более глубокие проблемы, если их не устранить.

Project Zero только что провела черту на песке, как отреагируют затронутые компании, определит, каким продуктам вы действительно можете доверять свои данные в будущем.