پروژه صفر گوگل[1] در حال دادن تغییرات اساسی به خطمشیهای فاشسازیاش[2] است. این کار موجب میشود توسعهدهندگان وقت بیشتری برای رفع مشکلات داشته باشند؛ درحالیکه همچنان قادر باشند در صورت سرپیچی شرکتها را جدول زمانی اختصاص دادهشده خطمشیهای سختگیرانهای را اعمال کنند. هیچ قانون رسمی نمیگوید که محققین امنیتی باید فلان بازه زمان را منتظر بمانند تا فرضاً کشفیاتشان عمومی شود. با این حال، یک خطمشی همگانی وجود دارد که فعالان این صنعت از آن پیروی میکنند. این یک سیاست 90 روزه است. گوگل در اصل الهامبخش این انتظار نود روزه بوده است. تا کنون گوگل پیش از گزارش عمومی آسیبپذیری یک بازه زمانی 90 روزه را برای انتظار در نظر گرفته بود. در این بازه زمانی شرکتها در واقع باید پچ را درست میکردند و آن را در محیط بیرون به کار میبستند. آن جدول زمانی فاشسازیِ 90 روزه سر جایش است اما گوگل تصمیم گرفته 30 روز اضافی دیگر هم پیش از نشر هر جزئیات فنی در فهرست امور خود لحاظ کند. اما این تنها تغییر فاحش در شاکلهی مدیریتی پروژه صفر نبوده است: مهلت افشای 7 روزهای هم برای نقایصی که به طور فعالانه در محیط بیرون علیه کاربر مورد اکسپلویت قرار میگرفتند در نظر دیده شده. اگر مشکلی بعد از 7 روز پچنشده باقی بماند، جزئیات فنی را میتوان فوراً منتشر نمود. اگر مشکل ظرف 7 روز مرتفع گردید، جزئیات فنی 30 روز بعد از فیکس منتشر خواهد گشت. فروشندگان میتوانند برای باگهای محیط بیرون، یک مهلت 3 روزه دیگر هم بگیرند.
منطق پشت این تغییر بسیار قابلفهم است: هدف گوگل این است که پچها سریعتر عمومیسازی شوند و تضمین داده شود که شرکتها وقت کافی برای بکارگیری یک پچ در محیط بیرون در اختیار دارند. به نقل از گوگل، «این خطمشی 90+30 روزه به فروشندگان وقت بیشتری در مقایسه با خطمشی فعلی میدهد زیرا مستقیم پریدن به 60+30 (یا سیاستی مشابه به این) احتمالاً ناگهانی و مخل خواهد بود. ترجیح ما این است که نقطه شروعی را انتخاب کنیم که بیشتر فروشندگان به طور ثابت توانایی پوششدهیاش را داشته باشند و بعد رفته رفته هر دو جداول زمانی اتخاذ پچ و نیز توسعه پچ را کمتر خواهیم نمود». پروژه صفر یک گروه پژوهش امنیتی در دل گوگل است که تمرکزش روی آسیبپذیریهای روز صفرِ نرمافزارهای خود یا نرمافزارهای شرکتهای دیگر میباشد.
[1] Google’s Project Zero
[2] disclosure