Google анонсировала Project Zero

Корпорация Google объявила о создании специальной исследовательской группы Project Zero, которая займётся поиском уязвимостей «нулевого дня» не только в продуктах компании, но и от сторонних разработчиков как открытого, так и собственнического программного обеспечения. Главным критерием испытания на прочность станет популярность продукта среди пользователей.

Крис Эванс, один из ведущих инженеров Project Zero, заявил, что Google раньше содержала отдел безопасности, сотрудники которого тратили часть своего времени на изучение чужих продуктов. Так, например, были обнаружена Heartbleed в OpenSSL, в 2009 года выявлены более двух сотен уязвимостей в Safari, Internet Explorer, PHP, продуктах Adobe и многих других проектах. Теперь, в дополнение к этому отделу, Интернет-корпорация создаёт Project Zero, где специалисты получат полную свободу выбора ПО, которое они захотят попробовать взломать. В случае обнаружения уязвимости, Google будет работать с разработчиком уязвимого ПО для исправления уязвимостей, после чего информация о ней будет опубликована в специальной общедоступной базе данных, где каждый сможет увидеть процесс обсуждения уязвимости, методики тестирования, время, прошедшее от уведомления разработчика до выпуска патча и многое другое.

Увеличить рисунок

Представители Google заявили, что Project Zero не является заменой ни команды Google Security, ни программ вознаграждения за обнаружение и исправление уязвимостей в продуктах поисковой корпорации и открытых проектах. В компании считают, что атаки с использованием уязвимостей «нулевого дня» наносят вред бизнесу, борцам за права человека и индустрии в целом, поэтому их устранение нуждается в целенаправленном усилии. Project Zero не предусматривает никаких вознаграждений сторонним исследователям, так как Google предлагает им два варианта — либо устроиться на работу в Project Zero, либо работать независимо по программам вознаграждения Google. В компании отметили, что несмотря на то, что инженеры Project Zero обладают большой независимостью от своих проект-менеджеров и вольны сами выбирать, над чем работать, но в определённых ситуациях менеджмент может вносить коррективы в направления работы.

Project Zero является не первым и не единственным примером подобных инициатив. Наиболее известен проект Hewlett-Packard под названием Zero Day Initiative (ZDI), который ответственен в том числе за конкурс Pwn2Own. У корпорации Microsoft также существует похожий проект Microsoft Vulnerability Research (MSVR), созданный в 2011 году, который, впрочем, нацелен на выявление уязвимостей, которые подвергают угрозе экосистему продуктов компании. За время существования MSVR было обнаружено 46 уязвимостей в продуктах Cisco, VMWare, Google, Nullsoft, NVIDIA и других.