Project Zero ปรับนโยบายเปิดเผยช่องโหว่ เปิดเผยผู้ผลิตที่ได้รับแจ้งภายใน 1 สัปดาห์
Body
Project Zero หน่วยงานวิจัยความปลอดภัยภายในของกูเกิลประกาศปรับนโยบายการเปิดเผยช่องโหว่ จากเดิมที่เปิดเผยหลังจากส่งรายงานให้ผู้ผลิตแล้ว 90 วันและยังไม่มีการแก้ไข ตอนนี้จะเปิดเผยข้อมูลภายในสัปดาห์เดียวแต่ยังไม่เปิดเผยรายละเอียด
ข้อมูลที่จะเปิดออกมาในหนึ่งสัปดาห์หลังแจ้งช่องโหว่ ได้แก่ ชื่อผู้ผลิตหรือโครงการ, ชื่อสินค้าที่ได้รับผลกระทบ, วันที่แจ้งช่องโหว่และวันที่ครบกำหนด 90 วัน โดยไม่มีข้อมูลช่วยแฮกเกอร์เช่น รายละเอียดช่องโหว่หรือตัวอย่างการโจมตีแต่อย่างใด
แนวทางนี้จะกดดันผู้ผลิตมากยิ่งขึ้น เพราะหากไม่ต้องการให้มีรายชื่อเลยต้องแก้ไขช่องโหว่ภายในเวลาสัปดาห์เดียวเท่านั้น และหากเริ่มมีชื่อแล้วก็จะถูกตั้งคำถามว่าแก้ไขภายในห้วงเวลา 90 วันทันหรือไม่ รวมถึงโครงการที่มีโครงการต่อเนื่อง (downsteam) เช่น ไลบรารีต่างๆ ก็จะทำให้โครงการปลายน้ำสามารถเตรียมตัวอัพเดต
การปรับนโยบายนี้เป็นการทดลองในช่วงแรก และจะดูผลกระทบต่อไป
ที่มา - Project Zero
lew Sat, 02/08/2025 - 14:08
Continue reading...
Body
Project Zero หน่วยงานวิจัยความปลอดภัยภายในของกูเกิลประกาศปรับนโยบายการเปิดเผยช่องโหว่ จากเดิมที่เปิดเผยหลังจากส่งรายงานให้ผู้ผลิตแล้ว 90 วันและยังไม่มีการแก้ไข ตอนนี้จะเปิดเผยข้อมูลภายในสัปดาห์เดียวแต่ยังไม่เปิดเผยรายละเอียด
ข้อมูลที่จะเปิดออกมาในหนึ่งสัปดาห์หลังแจ้งช่องโหว่ ได้แก่ ชื่อผู้ผลิตหรือโครงการ, ชื่อสินค้าที่ได้รับผลกระทบ, วันที่แจ้งช่องโหว่และวันที่ครบกำหนด 90 วัน โดยไม่มีข้อมูลช่วยแฮกเกอร์เช่น รายละเอียดช่องโหว่หรือตัวอย่างการโจมตีแต่อย่างใด
แนวทางนี้จะกดดันผู้ผลิตมากยิ่งขึ้น เพราะหากไม่ต้องการให้มีรายชื่อเลยต้องแก้ไขช่องโหว่ภายในเวลาสัปดาห์เดียวเท่านั้น และหากเริ่มมีชื่อแล้วก็จะถูกตั้งคำถามว่าแก้ไขภายในห้วงเวลา 90 วันทันหรือไม่ รวมถึงโครงการที่มีโครงการต่อเนื่อง (downsteam) เช่น ไลบรารีต่างๆ ก็จะทำให้โครงการปลายน้ำสามารถเตรียมตัวอัพเดต
การปรับนโยบายนี้เป็นการทดลองในช่วงแรก และจะดูผลกระทบต่อไป
ที่มา - Project Zero
lew Sat, 02/08/2025 - 14:08
Continue reading...