Theo Engadget, điều đó có nghĩa là các nhà phát triển vẫn sẽ có 90 ngày để sửa các lỗi thông thường (với thời gian gia hạn 14 ngày nếu được yêu cầu), nhưng Google sẽ đợi thêm 30 ngày trước khi tiết lộ chi tiết công khai. Đối với các lỗi đang được khai thác tích cực (zero day), các công ty vẫn có 7 ngày để vá với thời gian gia hạn 3 ngày theo yêu cầu. Tuy nhiên, Google hiện sẽ đợi 30 ngày trước khi tiết lộ các chi tiết kỹ thuật.
Năm ngoái, Google cho phép các nhà phát triển có thêm thời gian để sửa lỗi, hy vọng họ sẽ sửa chúng đủ nhanh để người dùng cuối có thêm thời gian vá lỗi. Tuy nhiên, đại diện Project Zero cho rằng nhóm không quan sát thấy sự thay đổi đáng kể trong tiến trình phát triển bản vá và nhóm tiếp tục nhận được phản hồi từ các nhà cung cấp rằng họ lo ngại về việc công bố công khai chi tiết kỹ thuật về các lỗ hổng và cách khai thác trước khi hầu hết người dùng cài đặt bản vá.
Giờ đây, các nhà phát triển có đủ thời gian 90 ngày hoặc 7 ngày để phát triển bản vá và người dùng cuối sẽ có 30 ngày để áp dụng bản vá trước khi tiết lộ. Điều này cơ bản có nghĩa các lỗ hổng sẽ được công bố sau 120 ngày hoặc 37 ngày đối với các lỗi thông thường và Zero Day - miễn là chúng được vá đúng thời hạn.
Được biết, thay đổi này sẽ được Google áp dụng cho năm 2021, có nghĩa là mọi thứ có thể thay đổi vào năm sau. Google cho biết “Sở thích của chúng tôi là chọn một điểm khởi đầu có thể được đáp ứng nhất quán bởi hầu hết nhà cung cấp, sau đó hạ dần cả mốc thời gian phát triển bản vá và áp dụng bản vá”.
Bình luận (0)