Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ

นโยบายของ Project Zero ตอนนี้กำหนดว่าจะเปิดเผยช่องโหว่ภายใน 90 วัน เว้นแต่ผู้ผลิตสัญญาว่าจะออกแพตช์ได้ทันเวลา เช่น มีแพตช์แล้วแต่รอรอบการออกแพตช์ถัดไป ก็จะยืดเวลาให้อีกไม่เกิน 14 วันเพื่อรอแพตช์ก่อน โดยหากคิดเฉพาะช่วงเวลาที่มีนโยบายยืดเวลา 14 วันนี้ อัตราการแพตช์ทันเวลาจะเพิ่มเป็น 97.5%

แนวทางกำหนดเส้นตาย 90 วันเคยมีปัญหาเมื่อปี 2015 ที่ไมโครซอฟท์พัฒนาแพตช์แล้วแต่รอรอบการปล่อยแพตช์ในวันอังคารตามปกติ แต่ Project Zero กลับเปิดเผยช่องโหว่ทันทีที่ครบ 90 วัน จนทำให้ Project Zero เปลี่ยนนโยบายในภายหลัง

ในเอกสารยืนยันว่านโยบาย 90 วันนี้จำเป็น เพราะหากนักวิจัยพบช่องโหว่ได้ ก็ไม่มีอะไรยืนยันว่าจะมีแฮกเกอร์กลุ่มอื่นๆ พบช่องโหว่ไปก่อนแล้วหรือไม่ การมีเส้นตายทำให้ผู้ผลิตมีแรงจูงใจที่จะพัฒนาแพตช์อย่างรวดเร็ว ขณะเดียวกันเส้นตายที่ให้ก็สมเหตุสมผล สามารถทำตามได้จริง

เอกสารยังระบุถึงความจำเป็นที่จะต้องเปิดโค้ดทดสอบ ว่าแม้โค้ดจะถูกนำไปใช้โจมตีได้ แต่โค้ดเหล่านี้ไม่ได้เป็นโค้ดการโจมตีเต็มรูปแบบ (full-chain) โค้ดเหล่านี้ก็ช่วยผู้ดูแลระบบให้ประเมินได้อย่างถูกต้องว่าแพตช์มีความสำคัญแค่ไหน ผู้ดูแลความปลอดภัยสามารถหาทางตรวจสอบและลดความเสี่ยงได้

บทความยังยืนยันว่ากูเกิลเองไม่ได้มีสิทธิ์เข้าถึงรายการช่องโหว่ล่วงหน้า ยกเว้นพนักงานที่เกี่ยวข้อง รวมถึงพนักงานที่ร่วมกับ Project Zero ในฐานะงาน 20% นอกจากงานปกติ ส่วนทีมงานอื่น เช่น Chrome, Android และซอฟต์แวร์อื่นนั้นได้รับรายงานแบบเดียวกับผู้ผลิตภายนอก

ที่มา - Project Zero

ภาพโดย fancycrave1