بذارین یه خبر داغ براتون بگم! گوگل قراره ایرادات و باگهای امنیتی معلومشده رو خیلی زودتر اعلام کنه. طرف خودشون بهش میگن “Project Zero”. اگه اسمش رو نشنیدین: Project Zero اون تیمیه که کارش شناسایی باگها و حفرههای امنیتیه (یعنی نقاط ضعفی که هکرها ممکنه ازشون سوءاستفاده کنن) تو نرمافزارها و سرویسای مختلفه.
خب، قبلاً قوانینشون اینجوری بود که وقتی یه باگ امنیتی پیدا میکردن، به شرکت مربوطه (که بهش میگن Vendor یعنی سازنده نرمافزار یا سرویس) ۹۰ روز فرصت میدادن تا مشکل رو رفع کنه. بعدش اگه ظرف اون ۹۰ روز وصله یا Patch رو درست میکردین، باز هم ۳۰ روز اضافه هم صبر میکردن تا کاربران این آپدیت رو نصب کنن. یعنی در کل از روزی که یه باگ کشف میشد تا روزی که همه خبردار میشدن، حدود ۱۲۰ روز فرصت داشتن.
اما الان یه مشکلی پیش اومده به اسم ‘upstream patch gap’. یعنی چی؟ یعنی فاصله زمانی بین وقتی که یه سازنده اصلی (مثلاً یه پروژه اوپنسورس یا یه شرکت مادر) وصله رو آماده میکنه تا وقتی که این وصله به دست بقیه شرکتها (که نرمافزارشون وابسته به اون پروژه است – بهشون میگن وابستگان downstream) و در نهایت کاربر نهایی برسه، خیلی طولانیه. خب، این یعنی با اینکه باگ درست شده، اما خب کاربران هنوز آپدیت رو نگرفتن و در معرض خطر هستن! یه جورایی باگ واقعاً رفع نشده تا وقتی که کاربر خودش نصبش کنه.
حالا برنامه جدید چیه؟ گوگل قراره اطلاعات بیشتری رو، خیلی سریعتر منتشر کنه! یعنی مثلاً میخواد زودتر بگه که کدوم شرکت یا پروژه، کدوم محصول، کی گزارش شده و deadline یا ضربالاجل ۹۰ روزهش که کی تموم میشه. این باعث میشه شرکتها و حتی خود ما بتونیم بهتر بفهمیم یه مشکل امنیتی کی کشف و حل شده و ما از کی باید منتظر وصله باشیم.
نکته جالب: گوگل گفته قرار نیست هیچ جزییات فنی یا کدی که بتونه دست هکرها رو باز بذاره منتشر کنه. یعنی قراره فقط اطلاعات کلی و زمانبندی بده، نه اونقدر اطلاعات که کسی سوءاستفاده کنه. اصلاً کل هدف اینه که شفافیت (transparency یعنی همه ببینن چی داره اتفاق میافته) رو بیشتر کنن که جامعه امنیتی و کاربران زودتر متوجه بشن “چی تو راهه و کی باید مراقب باشن”.
تو توضیحاتشون گفتن: “برای کاربر نهایی، یه باگ وقتی درست میشه که آپدیت رو واقعاً نصب کنن—not فقط وقتی شرکت سازنده، وصله رو بیرون میده!” این یعنی شاید سازنده اصلی کارش رو انجام بده، اما تا به دست کاربر برسه ماجرای امنیت هنوز ادامه داره.
این سیاست جدید باعث میشه همه بتونن ردیابی کنن از زمانی که یه وصله آماده میشه تا زمانی که واقعاً میشه نصبش کرد، چقدر طول میکشه و آیا شرکتها دارن درست و سریع عمل میکنن یا نه.
در آخر، این تغییر برای ما کاربرا خوبه چون کمک میکنه سریعتر بفهمیم چه مشکلاتی هست و باید کی آپدیت کنیم. تازه، باعث میشه شرکتها و پروژهها مجبور بشن جدیتر و سریعتر عمل کنن تا باگها رو رفع کنن!
اگه اهل امنیتی یا دنبال بهترین ابزارهای محافظت از سیستم خودتی، یه نگاهی هم به بهترین نرمافزارهای امنیت نقطه پایانی (endpoint protection = برنامههایی که هر دستگاه شما رو محافظت میکنن)، یا بهترین VPN و فایروالها بنداز. این روزا امنیت شوخیبردار نیست! 😉
منبع: +
