Политика 90-дневного раскрытия уязвимостей: RIP. Что дальше?

Помните те времена, когда у разработчиков было ровно три месяца, чтобы пофиксить баг, прежде чем исследователь выложит его на всеобщее обозрение? Google решила, что эпоха «90 дней — и прощай» закончена. Теперь сроки будут гибкими, как расписание тимлида после ночного деплоя.

Что случилось?

Google Project Zero, тот самый отряд коммандос по поиску уязвимостей, объявил, что больше не придерживается строгого 90-дневного дедлайна для публичного раскрытия. Вместо этого они будут оценивать каждый случай индивидуально, договариваться с вендорами и учитывать сложность фикса. Звучит как взрослый разговор, а не как ультиматум.

Почему это важно? Раньше исследователи безопасности жили по принципу «90 дней — и баг в паблике, хоть потоп». Это давило на разработчиков, но иногда приводило к тому, что пользователи оставались без патча и с открытой уязвимостью. Новый подход, по задумке Google, должен снизить риск «раскрытия в пустоту».

Конечно, не обошлось без скептицизма. Критики говорят, что гибкие сроки — это лазейка для вендоров, которые и так любят откладывать фиксы до «следующего спринта» (который, как мы знаем, никогда не наступает). А исследователи опасаются, что без жёсткого дедлайна их отчёты будут пылиться в JIRA годами.

Комментарий студии METABYTE: Мы за разумные сроки, но напоминаем: если ваш код похож на спагетти-монстра, даже 90 дней может не хватить. Лучше сразу пишите чисто и тестируйте — тогда и дедлайны не страшны.