กูเกิลยอมยืดเส้นตาย 90 วันของ Project Zero ให้อีก 14 วันถ้าออกแพตช์ไม่ทันจริงๆ

หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก้ไข

ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้

• ถ้าวันที่ 90 ตรงกับวันหยุดสุดสัปดาห์ หรือวันหยุดราชการของสหรัฐอเมริกา กูเกิลจะเผยช่องโหว่ในวันทำงานวันถัดไป
• ถ้าหน่วยงานเจ้าของซอฟต์แวร์กำลังทดสอบแพตช์อยู่ แต่ไม่เสร็จทันระยะเวลา 90 วัน บริษัทนั้นสามารถร้องขอให้กูเกิลยืดเวลาให้อีก 14 วันได้ (grace period) โดยกูเกิลสงวนสิทธิเป็นฝ่ายพิจารณาว่าจะยืดให้หรือไม่
• โลกความปลอดภัยระบุช่องโหว่แต่ละตัวเป็นเลข CVE (Common Vulnerabilities and Exposures) ในกรณีบริษัทเจ้าของซอฟต์แวร์กำลังออกแพตช์อยู่แต่ยังไม่เสร็จดี กูเกิลจะจองเลข CVE ไว้ให้ แล้วค่อยเปิดเผยข้อมูลช่องโหว่พร้อมเลข CVE นั้นเมื่อแพตช์ออกแล้ว

กูเกิลยังเผยสถิติของ Project Zero ว่าที่ผ่านมาเผยบั๊กแล้ว 154 ตัว และ 85% ถูกแก้ภายใน 90 วัน นอกจากนี้กูเกิลยังชมเชยทีม Adobe Flash ว่าผลงานดีเยี่ยม แก้บั๊ก 37 ตัวที่ Project Zero เปิดเผยได้ภายใน 90 วันทั้งหมด (สถิติ 100%)

ที่มา - Google Online Security