Dự án Zero của Google sẽ 'thận trọng' hơn trong việc tiết lộ thông tin về các lỗ hổng bảo mật

Theo chính sách mới, Dự án Zero của Google sẽ chỉ tiết lộ thông tin về các lỗ hổng bảo mật "sau đúng 90 ngày", dù cho lỗi đã được vá trước thời hạn đó.

Nhóm nghiên cứu bảo mật thuộc Dự án Zero của Google mới đây đã thông báo sẽ thử nghiệm chính sách mới, theo đó họ sẽ không công bố công khai thông tin về các lỗ hổng bảo mật sớm trước thời hạn, trong trường hợp nhà phát triển phần mềm đã tung ra bản sửa lỗi. "Sẽ chỉ tiết lộ sau đúng 90 ngày, dù cho lỗ hổng có thể đã được vá trước thời hạn" sẽ là quy định mới của nhóm. Dự án Zero sẽ thử nghiệm quy định này trong thời gian 1 năm trước khi quyết định có thực hành nó vĩnh viễn hay không.

Dự án Zero của Google sẽ 'thận trọng' hơn trong việc tiết lộ thông tin về các lỗ hổng bảo mật | Theo chính sách mới, Dự án Zero của Google sẽ chỉ tiết lộ thông tin về các lỗ hổng bảo mật

Theo quy định cũ, các nhà nghiên cứu của Dự án Zero sẽ cho nhà phát triển phần mềm thời hạn là 90 ngày để tung ra bản sửa lỗi trước khi công bố công khai thông tin về lỗ hổng. Tuy nhiên, nếu như bản vá được tung ra trước thời hạn này, thì nhóm có thể sẽ tiết lộ thông tin sớm hơn. Dù vậy, điều này có thể gây nguy hiểm trong trường hợp người dùng không kịp cài đặt bản vá, từ đó khiến họ dễ bị tổn thương hơn trước các cuộc tấn công của hacker. Trên thực tế, nhiều khi công ty phần mềm đã tung ra bản vá lỗi, nhưng tỉ lệ người dùng đã cài đặt bản vá đó mới là vấn đề quan trọng.

Người dùng chỉ được an toàn một khi họ đã cài đặt bản vá

Do vậy từ bây giờ, dù cho bản vá được phát hành 20 ngày hay 90 ngày sau khi Dự án Zero thông báo cho nhà phát triển về lỗi, các nhà nghiên cứu vẫn sẽ đợi 90 ngày rồi mới công bố công khai. Tuy nhiên, vẫn có một số ngoại lệ, chẳng hạn như có sự trao đổi và "thống nhất chung" giữa hai công ty rằng các nhà nghiên cứu có thể tiết lộ lỗ hổng sớm hơn, hoặc nếu nhà phát triển yêu cầu cần thêm thời gian, nhóm Zero sẽ kéo dài thời hạn thêm 14 ngày. Tuy nhiên, thời hạn 7 ngày đối với các lỗ hổng đã bị lợi dụng để tiến hành các cuộc tấn công ngoài thực tế sẽ không thay đổi.

Bên cạnh việc cho người dùng có thêm thời gian để cài đặt bản vá, quy định mới cũng giúp thống nhất và giúp các nhà phát triển thuận tiện hơn trong việc lên lịch và xác định "hạn chót" để tung ra bản vá. Ngoài ra, nhóm Zero cũng kỳ vọng điều này sẽ cho phép các nhà phát triển có thể tung ra các bản vá lỗi chất lượng và triệt để hơn, nhờ khoảng thời gian từ khi được thông báo về lỗi đến khi lỗi bị công bố công khai kéo dài hơn.

Bất chấp sự thay đổi này, nhóm Dự án Zero vẫn cho rằng họ rất hài lòng về tác dụng của thời hạn công bố lỗi trước đó trong việc thúc đẩy các nhà phát triển sớm tung ra bản vá cho sản phẩm của mình. Năm 2014, khi nhóm bắt đầu công việc, họ cho biết đôi khi phải mất 6 tháng kể từ khi phát hiện, các lỗi phần mềm mới được vá. Hiện tại, với các lỗi được nhóm phát hiện, họ cho biết 97,7% trong số đó được vá trong thời hạn 90 ngày.

Quang Huy


Đánh giá gần đây
Đọc nhiều nhất Phản hồi nhiều nhất

1 U23 Việt Nam sẽ không bị loại khỏi VCK U23 châu Á 2020, nếu?

2 'Nghi án' bóng đá Tây Á bắt tay nhau hòa 1 - 1 để cùng đi tiếp, loại U23 Việt Nam

3 Lịch nghỉ tết nguyên đán 2020

4 Vì sao việc Nhật Bản bị loại sớm làm cơ hội dự Olympic của U23 Việt Nam khó hơn bao giờ hết?

5 Góc đối xử: U23 Trung Quốc phải về nước bằng chuyến bay hạng phổ thông

Tin Liên quan
Các tin khác
a
Xem thêm
Góc nhìn VNREVIEW