Cyberthreat.id - Tim cybersecurity Project Zero Google sedang menguji coba kebijakan baru, yaitu tidak akan buru-buru mempublikasi temuan kerentanan keamanan setelah perbaikan diterbitkan. "Penuh 90 hari secara default, terlepas dari kapan bug diperbaiki," adalah kebijakan baru tim, yang akan diuji selama setahun sebelum memutuskan apakah akan mengadopsi secara permanen.

Di bawah sistem yang lama, menurut The Verge, para peneliti Project Zero akan memberi vendor waktu 90 hari untuk memperbaiki suatu masalah sebelum mengumumkannya kepada publik. Namun, jika tambalan dikeluarkan dalam jendela 90 hari itu, itu akan mengungkapkan kerentanan awal. Ini bisa menjadi masalah, karena itu berarti pengguna harus buru-buru menambal kerentanan sebelum peretas dapat mengeksploitasinya. Kerentanan mungkin diperbaiki oleh perusahaan, tetapi itu tidak masalah jika tambalan belum diadopsi secara luas.

Jadi sekarang, terlepas dari apakah tambalan dikeluarkan 20 hari atau 90 hari setelah Project Zero membuat vendor mengetahui masalah tersebut, masih akan menunggu 90 hari untuk mempublikasikan masalah tersebut. Ada beberapa pengecualian. Salah satunya adalah ketika ada "kesepakatan bersama" antara kedua perusahaan untuk mengungkapkan lebih awal, dan Project Zero juga dapat memperpanjang batas waktu 14 hari jika vendor membutuhkan waktu lebih lama untuk membuat tambalan. Batas waktu tujuh hari untuk kerentanan yang dieksploitasi di alam liar akan tetap tidak berubah.

Selain memberikan tambalan lebih banyak waktu untuk diadopsi, Project Zero berharap kebijakan baru akan meningkatkan konsistensi, memberi vendor ide yang lebih baik tentang kapan kerentanan akan dipublikasikan.

Meskipun ada perubahan, tim Project Zero mengatakan sangat senang dengan bagaimana periode pengungkapannya telah bekerja sampai sekarang. Pada 2014, ketika tim memulai pekerjaannya, dikatakan bahwa bug terkadang tidak diperbaiki enam bulan setelah ditemukan. Sekarang, dari masalah yang diidentifikasi, katanya 97,7 persen ditambal dalam waktu 90 hari.[]