Google Project Zero ontdekt 1585 bugs in hard- en software

Bughunters zijn regelmatig in het nieuws als de boosdoeners die code en exploits bekend maken van bugs terwijl er nog geen oplossing beschikbaar is. Uit de cijfers van Project Zero in bezit van ZDNet blijkt dat maar een klein percentage van de leveranciers er niet in slaagt binnen de gestelde deadline de softwarefouten op te lossen.

Goede argumenten tellen

Aanvankelijk hanteerde Project Zero de 90-dagen deadline heel strikt. Vanaf februari 2015 heeft de groep een coulanceperiode ingesteld voor de leveranciers als ze goede argumenten hebben waarom de deadline niet kon worden gehaald.

Project Zero werd in juli 2014 opgezet als een interne dienst waarmee Google de software en apparatuur testte die het bedrijf zelf ging gebruiken. In de afgelopen 5 jaar werden 1585 bugs ontdekt. Slechts 66 daarvan werden niet opgelost voordat de definitieve deadline verstreek waardoor het team overging tot het publiceren van details.

Details onthullen

Het team verdedigt het vrijgeven van technische details rond de bug ook als de patch eenmaal beschikbaar is. Volgens Project Zero hebben de aanvallers een duidelijk motief om tijd en geld te steken in het uitpluizen van de technische details rond een bug nadat deze eenmaal is gemeld. De verdedigers hebben die tijd en middelen niet en hebben vaak behoefte aan technische informatie om duidelijk te krijgen hoe groot het risico is dat zij lopen.