Более 95% из 1600 обнаруженных Project Zero уязвимостей были исправлены за 90 дней

Project Zero - это команда по кибербезопасности, работающая в Google и известная тремя вещами: они находят самые критичные уязвимости, делают это каждый день и дают компаниям всего 90 дней на то, чтобы исправить неполадки, перед тем как те станут достоянием общественности. На днях эти умельцы нарушили свое молчание, поделившись своими методами работы и занимательной статистикой.

По их словам, подавляющее большинство компаний, от Microsoft до Intel, хоть раз получали от Project Zero письмо с описанием неполадки и следующими словами: "Данная неполадка имеет 90-дневный дедлайн. По истечению этого срока или после выхода патча, исправляющего эту самую неполадку, ее описание будет опубликовано в открытом доступе". С этого момента компании могут либо залатать дыры в безопасности при поддержке Project Zero, либо самостоятельно. Если компания решает не делать вообще ничего, то команда сразу же публикует описание неполадки. К письму приложена вся информация о неполадке, которую Project Zero удалось собрать - от описания того, как она была обнаружена изначально, до того, как ее можно повторить.

По состоянию на 30 июля, команда опубликовала описание 1585 исправленных и 66 неисправленных неполадок. 1411 из 1585 отчетов были опубликованы в течение 90 дней, а оставшиеся 174 - в двухнедельный период, который Project Zero может дать, если компания близка к завершению исправления неполадки. Трем уязвимостям (Spectre, Meltdown и task_t) даже дали дополнительное время, ввиду их критичности.

В Project Zero осознают, что публиковать описание неполадки до того, как ее исправили - опасно. Однако, по мнению команды, только так можно заставить компании исправлять дыры в безопасности - теперь у них не получится отмахнуться, заявив, что неполадка была исправлена, когда на самом деле это не так.