Innovatie & Strategie

Security
vergrootglas

Google verandert beleid rond publiceren van bugs

Onderzoekers trekken zich niks meer aan van actie softwaremakers.

© AG Connect
10 januari 2020

Onderzoekers trekken zich niks meer aan van actie softwaremakers.

Google vereenvoudigt zijn beleid van Project Zero, dat dagelijks speurt naar kwetsbaarheden in software.

Project Zero meldt in het vervolg publiekelijk een gevonden kwetsbaarheid na 90 dagen ongeacht of er een patch voor is uitgebracht of niet.

Tot nog toe hield het team zich aan de 90 dagen-regel, tenzij de softwaremaker eerder een patch uitbracht. Dan publiceerde Google de kwetsbaarheidsmelding ook eerder.

Dat legde nogal wat druk op de gebruikers van de software om heel snel een patch op te halen en te installeren. Het nieuwe beleid geeft de gebruikers meer tijd om hun zaakjes op orde te maken.

Op het nieuwe beleid zijn een paar uitzonderingen mogelijk.

  • Wanneer uit overleg tussen het team en de softwareleverancier blijkt dat het beter is de kwetsbaarheid eerder publiekelijk te melden.
  • Wanneer de softwareleverancier het team heeft kunnen overtuigen dat er meer tijd nodig is voor het produceren van een goede oplossing voor de kwetsbaarheid. Project Zero geeft het bedrijf dan maximaal 14 dagen respijt.
  • Wanneer kwetsbaarheden al in de praktijk worden misbruikt. Team Zero meldt de kwetsbaarheid dan onmiddellijk.

Google verwacht ook dat softwaremakers iets meer rust nemen om daadwerkelijk goede patches voor kwetsbaarheden te ontwikkelen, nu het meldingsbeleid duidelijker is. Tim Willis van Project Zero geeft aan in een blog dat Google graag ziet dat ontwikkelaars snel patches beschikbaar stellen. Tegelijk levert dat het probleem dat ontwikkelaars de makkelijkste weg kiezen om snel een probleem uit de weg te ruimen zonder de onderliggende problemen aan te pakken. Dat maakt het voor kwaadwillenden vaak weer makkelijker om hun exploits een beetje aan te passen om de patch ongedaan te maken.

Al goede resultaten bereikt

Er is nu een periode gestart waarin het nieuwe beleid wordt geëvalueerd. Volgens Google is er veel verbeterd sinds Project Zero startte in 2014. "Wij zijn trots op de resultaten die we hebben gezien", zegt Willis. Inmiddels is 97,7 procent van de bugs opgelost binnen de 90 dagen-periode. In 2014 duurde het regelmatig meer dan zes maanden voor een softwaremaker een softwarefout had gerepareerd. "Dat gezegd hebbende, weten we dat er nog steeds ruimte is voor verbetering, zowel in de snelheid waarmee industriebreed patches worden ontwikkeld als met betrekking tot het gehele beheer van kwetsbaarheden.

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.