پروژه صفر گوگل: 95.8 درصد از باگ‌های ارسال شده به گوگل پیش از زمان تعیین شده برطرف شدند

به گفته تیم پروژه صفر گوگل (Google Project Zero)، حدود 95.8 درصد از باگ‌های امنیتی موجود در نرم‌افزارها و گزارش‌های ارسال شده به گوگل، قبل از تمام شدن ضرب الاجل 90 روزه این شرکت برای افشای آنها، برطرف شدند.

تیم امنیتی گوگل در آماری که روز چهارشنبه به اشتراک گذاشت، اظهار کرد که در کل مدت ایجاد تیم پروژه صفر (که حدود 5 سال می‌شود)، محققان این تیم حدود 1500 آسیب‌پذیری مختلف موجود در محدوده وسیعی از فروشندگان سخت‌افزار و نرم‌افزار را کشف و گزارش کردند.

گوگل همچنین گفته است که در این میان، 66 آسیب‌پذیری هنوز برطرف نشدند و آنها مجبورند قبل از رفع این باگ‌ها، جزئیات فنی مربوط به این اشکالات نرم‌افزاری را در اختیار عموم بگذارند.

در روز های اول ایجاد تیم پروژه صفر، این مهلت 90 روزه بسیار سختگیرانه به نظر می‌رسید. با این حال در فوریه سال 2015، گوگل یک تبصره به این امر اضافه کرد تا در شرایط خاصی بتواند این مهلت زمانی را 14 روز بیشتر کند.

گوگل همچنین اعلام کرد که قرار دادن این مهلت زمانی باعث بهتر شدن روند ارسال گزارش‌ها شده است و بر کارایی و برنامه ریزی کلی نیز تاثیر مثبت گذاشته است.

بر اساس گزارشات این تیم، از حدود 1500 باگ برطرف شده توسط این تیم، 1224 مورد از آنها در مهلت 90 روزه و 174 مورد دیگر در مهلت 14 روز اضافی برطرف شده‌اند. در این میان، جزئیات 36 آسیب‌پذیری نیز بدون رفع اشکال در دسترس عموم قرار گرفت. به عبارت دیگر 97.5 درصد از این مشکلات در مهلت زمانی معین برطرف شدند.

مشکلاتی که محققان امنیتی گوگل آنها را پیدا می‌کنند در قسمت ردیابی اشکالات ثبت شده و سپس به فروشندگان گزارش می‌شوند. این اطلاعات گاهی شامل کد‌ها و اطلاعات فنی بسیار دقیق هستند.

در طی چند سال گذشته محققان پروژه صفر، به دلیل انتشار این اطلاعات حساس، بسیار مورد انتقاد قرار گرفته‌اند. بسیاری از کارشناسان امنیتی ادعا کرده‌اند که گزارش این مشکلات حتی اگر برطرف شده باشند هم به مهاجمان کمک می‌کند تا از آنها بر علیه کاربران استفاده کنند.

اما در صفحه پرسش و پاسخ منتشر شده در این هفته، تیم پروژه صفر از اقدامات خود دفاع کرده و ادعا کرده است که انتشار این گزارش‌ها به مدافعین بیشتر از مهاجمین کمک می‌کند.

بنابراین از نظر گوگل، انتشار این جزئیات به مهاجمان کمک خاصی نمی‌کند، زیرا به هر حال بسیاری از آنها به دنبال تغییر متغیرها و کد‌های باینری برنامه‌ها هستند، اما این گزارش‌ها قطعاً به شرکت‌ها و مدیران سیستم‌ها برای شناسایی و انجام اقدامات پیشگیرانه، کمک می‌کند.