A+ A A-

Google публикует уязвимости сторонних разработчиков по истечении 7 дней

  • Обновлено 31.05.2013 01:25
  • Автор: Алексей Мацаев

В Google существует политика публичного раскрытия уязвимостей, обнаруженных компанией в программном обеспечении сторонних разработчиков, если в течение 60 дней с момента уведомления авторов, уязвимости не будут исправлены.

Период довольно продолжительный, и в Google уверены, что действуют во имя человечества.

Не многим компаниям такая политика «по душе», но недавно Google «закрутил гайки» еще сильнее, сократив данный срок до семи дней.

Компания признает, что семь дней – весьма короткий период, но считает, что люди должны быть своевременно осведомлены о рисках, дабы предпринять защитные меры, если разработчик ПО не в состоянии исправить ошибку самостоятельно. Особенно это касается уязвимостей, активно эксплуатируемых злоумышленниками.

«Причина жестких сроков в том, что каждый день активно эксплуатируемая уязвимость продолжает быть неведомой пользователю и, в случае отсутствия патча, заражает все больше компьютеров, – объясняют в Google. – Это действительно агрессивные сроки, и, может быть, не каждому вендору по силам уложиться в данный период. Но семи дней должно быть достаточно, чтобы опубликовать соответствующие рекомендации, временно приостановить услугу или ограничить доступ».

По мере того как Google исследует возможность взаимодействия со сторонним ПО, специалисты компании натыкаются на уязвимости регулярно. Как и другие вендоры, Google извещает производителей об уязвимостях и хранит молчание, ожидая исправления багов.

В мире исследований в области безопасности давно существует стандарт: указывать на уязвимости софта сторонних разработчиков, но держать их в тайне. Некоторые вендоры злоупотребляют этим, не исправляя ошибки неделями, а то и месяцами в надежде, что их коллеги будут хранить молчание.

В последнее время наметилась тенденция сокращения сроков обнародования багов. В некоторых экстремальных случаях уязвимости публикуются сразу же после обнаружения.

Google публикует уязвимости сторонних разработчиков по истечении 7 дней

Источник: softpedia.com

Комментарии