تیم امنیتی پروژه زیرو گوگل از این پس ۳۰ روز اضافهتر منتظر میماند و بعد جزئیات مربوط به آسیبپذیریهای امنیتی را منتشر میکند تا کاربران فرصت کافی برای نصب این پچهای نرمافزاری داشته باشند. این یعنی توسعهدهندگان برای رفع باگهای عادی ۹۰ روز (به اضافه ۱۴ روز قابل درخواست) مهلت خواهند داشت، ولی گوگل پیش از انتشار عمومی اطلاعات مربوطه ۳۰ روز دیگر هم صبر میکند.
گوگل در وبلاگ پروژه زیرو نوشته شرکتها همچنان برای آسیبپذیریهای روز صفر فقط هفت روز مهلت خواهند داشت و در صورت درخواست میتوانند سه روز اضافهتر فرصت بگیرند. ولی گوگل حالا پیش از انتشار جزئیات فنی ۳۰ روز صبر میکند.
این شرکت پارسال به توسعهدهندگان فرصت بیشتری میداد تا باگها را برطرف کنند و امیدش این بود که آنها سریعتر این کار را انجام دهند تا کاربران مصرفی زمان بیشتری برای نصب آپدیتها داشته باشند. با این حال، «تیم ویلیس» از تیم پروژه زیرو گوگل میگوید: «در عمل شاهد تغییر قابل توجهی در زمانبندی توسعه پچها نبودیم و بازخوردهایی از تولیدکنندگان میگرفتیم مبنی بر این که آنها نگرانند اطلاعات فنی آسیبپذیریها پیش از نصب پچها توسط کاربران منتشر شود.»
توسعهدهندگان اکنون بسته به نوع آسیبپذیریها ۹۰ یا ۷ روز مهلت خواهند داشت تا پچهای لازم را بسازند و به کاربران هم ۳۰ روز وقت داده میشود تا پیش از انتشار جزئیات فنی این پچها را نصب کنند. منتها اگر درخواست مهلت اضافه داشته باشند، این مهلت در این بازه زمانی ۳۰ روزه جدید لحاظ میشود. یعنی در هر حال، جزئیات فنی باگها همیشه نهایتا پس از ۱۲۰ یا ۳۷ روز از کشف آنها منتشر خواهد شد.
این قاعده جدید از همین امسال اجرایی میشود ولی ممکن است سال بعد تغییر کند. گوگل میگوید: «ترجیح ما اتخاذ تصمیمی است که بیشترین مطابقت را با تولیدکنندگان داشته باشد و به مرور زمان پنجره زمانی توسعه و انتشار پچها را کوتاهتر کند.»
پاسخ ها