หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก ้ไข
ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้

  • ถ้าวันที่ 90 ตรงกับวันหยุดสุดสัปดาห์ หรือวันหยุดราชการของสหรัฐอเมริกา กูเกิลจะเผยช่องโหว่ในวันทำงานวันถัดไป
  • ถ้าหน่วยงานเจ้าของซอฟต์แวร์กำลังทดสอบแพตช์อยู่ แต่ไม่เสร็จทันระยะเวลา 90 วัน บริษัทนั้นสามารถร้องขอให้กูเกิลยืดเวลาให้อีก 14 วันได้ (grace period) โดยกูเกิลสงวนสิทธิเป็นฝ่ายพิจารณาว่าจะยืดให้หรือไม ่
  • โลกความปลอดภัยระบุช่องโหว่แต่ละตัวเป็นเลข CVE (Common Vulnerabilities and Exposures) ในกรณีบริษัทเจ้าของซอฟต์แวร์กำลังออกแพตช์อยู่แต่ยั งไม่เสร็จดี กูเกิลจะจองเลข CVE ไว้ให้ แล้วค่อยเปิดเผยข้อมูลช่องโหว่พร้อมเลข CVE นั้นเมื่อแพตช์ออกแล้ว

กูเกิลยังเผยสถิติของ Project Zero ว่าที่ผ่านมาเผยบั๊กแล้ว 154 ตัว และ 85% ถูกแก้ภายใน 90 วัน นอกจากนี้กูเกิลยังชมเชยทีม Adobe Flash ว่าผลงานดีเยี่ยม แก้บั๊ก 37 ตัวที่ Project Zero เปิดเผยได้ภายใน 90 วันทั้งหมด (สถิติ 100%)
ที่มา - Google Online Security
Project Zero, Google, Security




อ่านต่อ...