Project Zero Mengemaskini Polisi Perkongsian Maklumat Mengenai Kerentanan Yang Telah Diperbaiki

Project Zero ialah projek sekuriti komputer dibawah Google yang mencari sebarang isu kerentanan digital dan atas talian, dimana mereka kemudiannya akan memberitahu pihak terlibat sebelum mengumumkannya ke pihak umum.

Project Zero bertanggungjawab untuk menjumpa dan mengenalpasti sejumlah besar kerentanan-kerentanan PC seperti Meltdown dan Spectre yang membelenggu siri CPU Intel untuk bertahun-tahun lamanya.

Sebelum ini, Project Zero hadir dengan polisi bahawa untuk sebarang kerentanan yang ditemui akan diumumkan secara terbuka dalam masa 90 hari selepas ia ditemui. Untuk kerentanan zero-day pula, kerentanan yang ditemui akan diumumkan selepas 7 hari ia ditemui, tidak kira samada kerentanan tersebut diperbaiki ataupun tidak.

Project Zero mengumumkan kemaskini kepada polisi pengumuman kerentanan mereka, dengan mengatakan bahawa untuk kerentanan yang telah diperbaiki dalam masa 90 hari ataupun 7 hari selepas ditemui, Project Zero akan memanjangkan tarikh pengumuman kerentanan selama 30 hari untuk membolehkan mereka yang terjejas untuk mengemaskini sistem mereka untuk mengurangkan kebarangkalian ia diserang dengan kerentanan tersebut.

Untuk kerentanan yang tidak diperbaiki dalam masa yang diberikan, Project Zero masih lagi akan mengumumkan kerentanan tersebut dalam julat masa yang sama seperti sebelum ini.

Google mengatakan bahawa polisi pengumuman ini akan diperhalusi pad tahun hadapan, kerana jangkamasa 90+30 hari yang diperkenalkan ini adalah terlalu lama untuk mengumumkan kerentanan yang mungkin lebih serius kepada pihak umum.