Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT Google анонсировала Project Zero RSS

Google анонсировала Project Zero

Текущий рейтинг: 5 (проголосовало 2)
 Посетителей: 2352 | Просмотров: 2646 (сегодня 1)  Шрифт: - +

Корпорация Google объявила о создании специальной исследовательской группы Project Zero, которая займётся поиском уязвимостей «нулевого дня» не только в продуктах компании, но и от сторонних разработчиков как открытого, так и собственнического программного обеспечения. Главным критерием испытания на прочность станет популярность продукта среди пользователей.

Крис Эванс, один из ведущих инженеров Project Zero, заявил, что Google раньше содержала отдел безопасности, сотрудники которого тратили часть своего времени на изучение чужих продуктов. Так, например, были обнаружена Heartbleed в OpenSSL, в 2009 года выявлены более двух сотен уязвимостей в Safari, Internet Explorer, PHP, продуктах Adobe и многих других проектах. Теперь, в дополнение к этому отделу, Интернет-корпорация создаёт Project Zero, где специалисты получат полную свободу выбора ПО, которое они захотят попробовать взломать. В случае обнаружения уязвимости, Google будет работать с разработчиком уязвимого ПО для исправления уязвимостей, после чего информация о ней будет опубликована в специальной общедоступной базе данных, где каждый сможет увидеть процесс обсуждения уязвимости, методики тестирования, время, прошедшее от уведомления разработчика до выпуска патча и многое другое.

*
Увеличить рисунок

Представители Google заявили, что Project Zero не является заменой ни команды Google Security, ни программ вознаграждения за обнаружение и исправление уязвимостей в продуктах поисковой корпорации и открытых проектах. В компании считают, что атаки с использованием уязвимостей «нулевого дня» наносят вред бизнесу, борцам за права человека и индустрии в целом, поэтому их устранение нуждается в целенаправленном усилии. Project Zero не предусматривает никаких вознаграждений сторонним исследователям, так как Google предлагает им два варианта — либо устроиться на работу в Project Zero, либо работать независимо по программам вознаграждения Google. В компании отметили, что несмотря на то, что инженеры Project Zero обладают большой независимостью от своих проект-менеджеров и вольны сами выбирать, над чем работать, но в определённых ситуациях менеджмент может вносить коррективы в направления работы.

Project Zero является не первым и не единственным примером подобных инициатив. Наиболее известен проект Hewlett-Packard под названием Zero Day Initiative (ZDI), который ответственен в том числе за конкурс Pwn2Own. У корпорации Microsoft также существует похожий проект Microsoft Vulnerability Research (MSVR), созданный в 2011 году, который, впрочем, нацелен на выявление уязвимостей, которые подвергают угрозе экосистему продуктов компании. За время существования MSVR было обнаружено 46 уязвимостей в продуктах Cisco, VMWare, Google, Nullsoft, NVIDIA и других.

Автор: Анжел Божинов  •  Иcточник: www.zdnet.com  •  Опубликована: 17.07.2014
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.