پروژه صفر گوگل: 95.8 درصد از باگهای ارسال شده به گوگل پیش از زمان تعیین شده برطرف شدند
به گفته تیم پروژه صفر گوگل (Google Project Zero)، حدود 95.8 درصد از باگهای امنیتی موجود در نرمافزارها و گزارشهای ارسال شده به گوگل، قبل از تمام شدن ضرب الاجل 90 روزه این شرکت برای افشای آنها، برطرف شدند.
تیم امنیتی گوگل در آماری که روز چهارشنبه به اشتراک گذاشت، اظهار کرد که در کل مدت ایجاد تیم پروژه صفر (که حدود 5 سال میشود)، محققان این تیم حدود 1500 آسیبپذیری مختلف موجود در محدوده وسیعی از فروشندگان سختافزار و نرمافزار را کشف و گزارش کردند.
گوگل همچنین گفته است که در این میان، 66 آسیبپذیری هنوز برطرف نشدند و آنها مجبورند قبل از رفع این باگها، جزئیات فنی مربوط به این اشکالات نرمافزاری را در اختیار عموم بگذارند.
در روز های اول ایجاد تیم پروژه صفر، این مهلت 90 روزه بسیار سختگیرانه به نظر میرسید. با این حال در فوریه سال 2015، گوگل یک تبصره به این امر اضافه کرد تا در شرایط خاصی بتواند این مهلت زمانی را 14 روز بیشتر کند.
گوگل همچنین اعلام کرد که قرار دادن این مهلت زمانی باعث بهتر شدن روند ارسال گزارشها شده است و بر کارایی و برنامه ریزی کلی نیز تاثیر مثبت گذاشته است.
بر اساس گزارشات این تیم، از حدود 1500 باگ برطرف شده توسط این تیم، 1224 مورد از آنها در مهلت 90 روزه و 174 مورد دیگر در مهلت 14 روز اضافی برطرف شدهاند. در این میان، جزئیات 36 آسیبپذیری نیز بدون رفع اشکال در دسترس عموم قرار گرفت. به عبارت دیگر 97.5 درصد از این مشکلات در مهلت زمانی معین برطرف شدند.
مشکلاتی که محققان امنیتی گوگل آنها را پیدا میکنند در قسمت ردیابی اشکالات ثبت شده و سپس به فروشندگان گزارش میشوند. این اطلاعات گاهی شامل کدها و اطلاعات فنی بسیار دقیق هستند.
در طی چند سال گذشته محققان پروژه صفر، به دلیل انتشار این اطلاعات حساس، بسیار مورد انتقاد قرار گرفتهاند. بسیاری از کارشناسان امنیتی ادعا کردهاند که گزارش این مشکلات حتی اگر برطرف شده باشند هم به مهاجمان کمک میکند تا از آنها بر علیه کاربران استفاده کنند.
اما در صفحه پرسش و پاسخ منتشر شده در این هفته، تیم پروژه صفر از اقدامات خود دفاع کرده و ادعا کرده است که انتشار این گزارشها به مدافعین بیشتر از مهاجمین کمک میکند.
بنابراین از نظر گوگل، انتشار این جزئیات به مهاجمان کمک خاصی نمیکند، زیرا به هر حال بسیاری از آنها به دنبال تغییر متغیرها و کدهای باینری برنامهها هستند، اما این گزارشها قطعاً به شرکتها و مدیران سیستمها برای شناسایی و انجام اقدامات پیشگیرانه، کمک میکند.