Google Project Zero тестирует прозрачность отчетности для сокращения задержек патчей в 2025 году

Google Project Zero анонсирует пилотный проект по прозрачности отчетности для борьбы с задержками патчей

Маунтин-Вью, Калифорния – июль 2025 года – Команда Google Project Zero под руководством Тима Уиллиса представила новую экспериментальную политику Reporting Transparency (прозрачность отчетности), направленную на сокращение «upstream patch gap» — критической задержки в процессе устранения уязвимостей. Инициатива призвана ускорить доставку исправлений безопасности конечным пользователям за счет повышения прозрачности взаимодействия между upstream-вендорами и downstream-зависимыми проектами.

Основные изменения в политике

В рамках существующей модели раскрытия 90+30 у вендоров есть 90 дней на устранение уязвимости до публичного раскрытия информации, с дополнительным 30-дневным периодом на внедрение патча, если исправление выпущено досрочно. Новый пилотный проект вводит систему раннего публичного оповещения:

• В течение одной недели после подачи отчета об уязвимости Project Zero публично раскроет:
  • Вендора или open-source проект, получивший отчет.
  • Затронутый продукт.
  • Дату подачи отчета и 90-дневный срок раскрытия.

Проект Google Big Sleep, совместная инициатива Google DeepMind и Project Zero, также будет следовать этой политике. Отчеты об уязвимостях будут отслеживаться через трекер проблем Google Big Sleep.

Проблема upstream patch gap

Термин «upstream patch gap» обозначает задержку между выпуском исправления upstream-вендором и его интеграцией downstream-зависимыми проектами. Эта задержка значительно продлевает жизненный цикл уязвимости, оставляя конечных пользователей уязвимыми даже после выхода патча.

"Для конечного пользователя уязвимость не считается исправленной, когда патч выпускается от Вендора A к Вендору B; она исправлена только тогда, когда пользователь загружает и устанавливает обновление", — пояснил Уиллис. — "Чтобы сократить эту цепочку, необходимо устранить задержку на уровне upstream."

Цели и ожидаемый эффект

Основные задачи пилотного проекта Reporting Transparency:

• Повышение прозрачности за счет предоставления ранних сигналов downstream-зависимым проектам об upstream-уязвимостях.
• Стимулирование более тесного взаимодействия между вендорами для ускорения разработки и внедрения патчей.
• Возможность публичного отслеживания времени, необходимого для доставки исправлений конечным пользователям, особенно если они так и не доходят до них.

Project Zero ожидает, что пилотный проект будет способствовать формированию более проактивной экосистемы безопасности, в конечном итоге сокращая окно воздействия критических уязвимостей.

Последствия для безопасности и реакция индустрии

Хотя пилотный проект может привлечь внимание общественности к неустраненным уязвимостям, Project Zero подчеркивает, что технические детали, proof-of-concept код или информация, способствующая эксплуатации, не будут раскрываться до истечения срока раскрытия. Политика предназначена служить механизмом оповещения, а не руководством для злоумышленников.

"Мы считаем, что преимущества справедливой, простой и прозрачной политики перевешивают риск неудобств для небольшого числа вендоров", — заявил Уиллис. — "В 2025 году само существование уязвимостей в программном обеспечении не должно никого удивлять или пугать. Конечные пользователи лучше, чем когда-либо, осведомлены о необходимости обновлений безопасности, и широко признано, что сложные системы всегда будут содержать уязвимости."

Дальнейшие шаги и мониторинг

Поскольку проект является экспериментальным, Project Zero будет внимательно следить за его влиянием и при необходимости вносить коррективы. Конечная цель — создание более безопасной экосистемы, где уязвимости устраняются не только в upstream-репозиториях, но и на устройствах, системах и сервисах, ежедневно используемых конечными пользователями.

Специалисты по безопасности и вендоры приглашаются к предоставлению обратной связи по мере развития пилотного проекта. Дополнительная информация доступна на странице Reporting Transparency Project Zero.