หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก้ไข
ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้
- ถ้าวันที่ 90 ตรงกับวันหยุดสุดสัปดาห์ หรือวันหยุดราชการของสหรัฐอเมริกา กูเกิลจะเผยช่องโหว่ในวันทำงานวันถัดไป
- ถ้าหน่วยงานเจ้าของซอฟต์แวร์กำลังทดสอบแพตช์อยู่ แต่ไม่เสร็จทันระยะเวลา 90 วัน บริษัทนั้นสามารถร้องขอให้กูเกิลยืดเวลาให้อีก 14 วันได้ (grace period) โดยกูเกิลสงวนสิทธิเป็นฝ่ายพิจารณาว่าจะยืดให้หรือไม่
- โลกความปลอดภัยระบุช่องโหว่แต่ละตัวเป็นเลข CVE (Common Vulnerabilities and Exposures) ในกรณีบริษัทเจ้าของซอฟต์แวร์กำลังออกแพตช์อยู่แต่ยังไม่เสร็จดี กูเกิลจะจองเลข CVE ไว้ให้ แล้วค่อยเปิดเผยข้อมูลช่องโหว่พร้อมเลข CVE นั้นเมื่อแพตช์ออกแล้ว
กูเกิลยังเผยสถิติของ Project Zero ว่าที่ผ่านมาเผยบั๊กแล้ว 154 ตัว และ 85% ถูกแก้ภายใน 90 วัน นอกจากนี้กูเกิลยังชมเชยทีม Adobe Flash ว่าผลงานดีเยี่ยม แก้บั๊ก 37 ตัวที่ Project Zero เปิดเผยได้ภายใน 90 วันทั้งหมด (สถิติ 100%)
ที่มา - Google Online Security
on
ดูเป็นผู้หวังดีเพื่อมวลชนจังเ
pit Sat, 14/02/2015 - 22:25
ดูเป็นผู้หวังดีเพื่อมวลชนจังเลยฮะ. (ไม่ได้ประชดนะ)
ผมกลับมองว่า
psuusp Sat, 14/02/2015 - 22:30
ผมกลับมองว่า อีวิวตัวพ่อเลยแหละ ระบบปฏิบัติการตัวเอง ก็ต้องสร้างทุกอย่างผ่านโอเอสคนอื่น ยังมาเปิดเผยตาอสาธารณะ ปล่อยให้คนไม่หวังดีนำไปใช้ประโยชน์
มันเกี่ยวกับ
lew Sat, 14/02/2015 - 22:48
In reply to ผมกลับมองว่า by psuusp
มันเกี่ยวกับ "สร้างทุกอย่างผ่านโอเอสคนอื่น" ยังไงหรือครับ?
หลักการความปลอดภัยคอมพิวเตอร์ที่ยอมรับกัน คือการเปิดเผยสู่สาธารณะมาโดยตลอดครับ CERT ทั่วโลกก็ใช้หลักการนี้ (US-CERT นี่ระยะเวลาสั้นกว่านี้ด้วย 45 วัน)
ชอบแบบปิดตาไม่รู้ไม่เห็นสินะค
theoneox Sun, 15/02/2015 - 10:46
In reply to ผมกลับมองว่า by psuusp
ชอบแบบปิดตาไม่รู้ไม่เห็นสินะครับ
หึหึ
ชอบครับ กระตุ้นกันดี
kanitinkn Sat, 14/02/2015 - 22:43
ชอบครับ กระตุ้นกันดี แลดูตื่นเต้น
ถ้าไม่มี project นี้
100dej Sat, 14/02/2015 - 22:44
ถ้าไม่มี project นี้ แล้วมันจะเป็นยังไง?
บริษัทวิจัยความปลอดภัยมักจะเจ
lew Sat, 14/02/2015 - 22:48
In reply to ถ้าไม่มี project นี้ by 100dej
บริษัทวิจัยความปลอดภัยมักจะเจอช่องโหว่พวกนี้อยู่แล้วครับ และก็ไปขายให้กับ "สมาชิก"
อาจมีบาง software เขียน
proxima Sun, 15/02/2015 - 00:06
In reply to ถ้าไม่มี project นี้ by 100dej
อาจมีบาง software เขียน backboor เอาไว้ แล้วหาผลประโยชน์ตอนหลัง
เออ!! ให้มันได้อย่างนี้สิ!!
iDan Sat, 14/02/2015 - 22:44
เออ!! ให้มันได้อย่างนี้สิ!! กำลังจากที่โดนถล่มไป สงสัยต้องโดนไมโครซอพท์ และแอปเปิลเรียกไปคุยแน่เลย...
เขาเรียก ปรับทัศนคติ ป่ะ
Aoun Sun, 15/02/2015 - 08:33
In reply to เออ!! ให้มันได้อย่างนี้สิ!! by iDan
เขาเรียก ปรับทัศนคติ ป่ะ
สามารถหาคนเก่งๆ
udornrt Sat, 14/02/2015 - 22:59
สามารถหาคนเก่งๆ มาทำงานได้ไม่มีติดขัดจริงๆ Google เนี่ย
ว่าแต่ ตัวเลข 90
PowerMax Sat, 14/02/2015 - 23:01
ว่าแต่ ตัวเลข 90 วันนี่
ใครเป็นคนกำหนดเป็นที่แรกอ่ะ
เพราะ หน่วยงานอื่น ก็ใช้กำหนด 90 วันด้วยเหมือนกัน
กูเกิลทำแบบนี้
LazarusSP1 Sat, 14/02/2015 - 23:05
กูเกิลทำแบบนี้ พวกบริษัทขาย 0day จะเอาช่องโหว่ที่ไหนขายหละครับ ตัดช่องทางทำมาหากินหมดเลย
Google
Configuleto Sun, 15/02/2015 - 00:28
In reply to กูเกิลทำแบบนี้ by LazarusSP1
Google ก็คงไม่ขนาดหาทุกช่องโหว่ทั้งหมดเจอก่อนคนอื่นหรอกครับ
เป็นเรื่องของการแข่งขัน
Aoun Sun, 15/02/2015 - 08:35
In reply to กูเกิลทำแบบนี้ by LazarusSP1
เป็นเรื่องของการแข่งขัน
แล้วประกาศช่องโหว่เผื่อ ?
lungkao Sun, 15/02/2015 - 06:37
แล้วประกาศช่องโหว่เผื่อ ? ถ้าเขาแก้ไม่ทัน
หรือเป็นการประจานเพื่อให้บริษัทนั้นๆ แก้ไข
เป็นการทำให้ผู้สร้างตระหนักถึ
Hadakung Sun, 15/02/2015 - 07:33
In reply to แล้วประกาศช่องโหว่เผื่อ ? by lungkao
เป็นการทำให้ผู้สร้างตระหนักถึงปัญหาและเร่งแก้ไขครับ จะได้ไม่ทำชิวๆเพราะบัคนี้อาจมีคนอื่นหาเจอเหมือนกัน แต่ถ้าเข้มงวดไปก็เหมือนการไปแกล้งผู้สร้างเหมือนกัน
ใช่ครับ
lew Sun, 15/02/2015 - 16:46
In reply to แล้วประกาศช่องโหว่เผื่อ ? by lungkao
ใช่ครับ พ้นระยะแล้วประกาศสู่สาธารณะในแง่หนึ่งคือการประจาน ว่าเป็นผู้ผลิตที่ไม่สนใจต่อความปลอดภัยของลูกค้า
ในอีกแง่ คือลูกค้าอาจจะต้องวางแนวทางป้องกันอื่นๆ เช่นเอาซอฟต์แวร์แยกออกจากอินเทอร์เน็ต เอาไปวางหลังไฟร์วอล ฯลฯ
ยอมรับมาซะเถอะ
PathSNW Sun, 15/02/2015 - 15:20
ยอมรับมาซะเถอะ แสงคุงอยู่เบื้องหลังใช่ไหม......ตอบ
เริ่มเล่นบทตำรวจแล้วพี่กู
iamcmnut Mon, 16/02/2015 - 09:28
เริ่มเล่นบทตำรวจแล้วพี่กู