Google mengumumkan project zero
Google Project Zero adalah unit penelitian keamanan dalam Google Inc.
Peran tim Project Zero adalah menemukan kerentanan dalam produk perangkat lunak populer, termasuk yang dibuat oleh Google sendiri. Ketika tim peneliti menemukan dan memvalidasi keberadaan kerentanan, tim diam-diam melaporkan bug tersebut kepada perusahaan yang bertanggung jawab atas perangkat lunak tersebut dan memberi perusahaan waktu 90 hari untuk memperbaiki masalah tersebut.
Jika kerentanan belum diperbaiki setelah 90 hari, tim Project Zero secara otomatis merilis informasi tentang bug dan memberikan contoh kode serangan kepada masyarakat umum. Maksud dari kebijakan pengungkapan 90 hari adalah untuk mendorong perusahaan memperbaiki masalah tepat waktu sebelum penyerang menemukan kerentanan yang sama dan mengeksploitasinya. Kritik terhadap kebijakan pengungkapan otomatis telah menanyakan mengapa Google memiliki tim Project Zero yang mengawasi produk pihak ketiga. Mereka juga bertanya-tanya apakah tim Project Zero secepat mereka mengungkapkan kerentanan dalam produk Google seperti mereka merilis informasi tentang bug perangkat lunak pihak ketiga. Pendukung Project Zero berpendapat bahwa masyarakat umum mendapat manfaat dari semua penelitian keamanan dan Google bertanggung jawab untuk meneliti produk perangkat lunak yang kemungkinan akan digunakan bersama dengan produk Google. Google mengumumkan keberadaan Project Zero kepada publik pada 15 Juli 2014.
Pada bulan Februari 2015, Project Zero menyesuaikan kebijakan pengungkapannya setelah secara tidak sengaja menimbulkan kontroversi dalam komunitas keamanan dengan secara otomatis mengungkapkan kelemahan keamanan di Windows 8, meskipun Microsoft telah memberi tahu Google bahwa mereka akan merilis tambalan untuk memperbaiki kode yang bermasalah. Kebijakan Project Zero yang direvisi sekarang memungkinkan manusia untuk campur tangan dan memperpanjang pengungkapan hingga 14 hari kerja tambahan selama vendor telah memberi tahu Google bahwa patch akan dirilis pada hari tertentu dalam masa tenggang 14 hari. Tim juga mengumumkan akan mulai menetapkan setiap kerentanan pengenal CVE yang unik. CVE-ID memastikan bahwa vendor, administrator jaringan, dan pihak berkepentingan lainnya dapat mengumpulkan informasi dari banyak sumber dan yakin bahwa semua informasi tentang CVE-ID tertentu mengatasi kerentanan yang sama persis.
Demikian