Ny 'disclosure policy' hos Google: Alle bugs bliver afsløret efter 90 dage

9. januar 2020 kl. 11:031
Ny 'disclosure policy' hos Google: Alle bugs bliver afsløret efter 90 dage
Illustration: Bigstock.
Googles hold af sikkerhedsanalytikere, Project Zero, har ændret 'disclosure policy'. Nu går der 90 dage, før detaljer om en bug bliver afsløret, uanset om problemet bliver løst hurtigere. Tiltaget kommer sammen med to andre tiltag, der skal sikre grundigere udvikling og integrering af patches.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Project Zero, der, som mange læsere nok vil vide, er et hold sikkerhedsanalytikere ansat af Google til at finde nul-dags sårbarheder, har fra årsskiftet ændret sin politik for, hvornår sårbarheder bliver afsløret.

Der vil nu gå 90 dage, uagtet om sagen er blevet klaret inden, før oplysninger om sårbarheden bliver offentliggjort. Førhen er detaljer om sårbarheder blevet offentliggjort, så snart hullet var lukket.

Hos Project Zero forklarer man den nye politik sådan her:

»Fix a bug in 20 days? We will release all details on Day 90. Fix a bug in 90 days? We will release all details on Day 90.«

Artiklen fortsætter efter annoncen

Dog kan der, hvis der bliver indgået en aftale mellem Project Zero og en virksomhed, være undtagelser, hvor bugs bliver afsløret hurtigere end de 90 dage, skriver Tim Willis fra Project Zero.

Nye politikker om patches

Det nye tiltag kommer i forlængelse af to nye målsætninger fra Project Zero.

For det første vil man have grundig udvikling af patches, som altså skal adressere den egentlige grund til problemet. Kort sagt: Ingen lappeløsninger.

For det andet vil Project Zero give samarbejdspartnere bedre mulighed for at implementere de patches, der skal lukke hullerne, inden de bliver offentliggjort.

Project Zero havde ved sin opstart i 2014 sager, der tog op mod seks måneder at løse, mens 97,7 pct. af holdets sager nu lukkes på kortere tid end 90 dage.

Emner
1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Henrik Clausen
9. januar 2020 kl. 16:30

... at resten af familien i Android-fødekæden følger med, så alle enheder får relevante opdateringer, og ikke kun Googles egne (og til nød Samsung og de andre store). Er jeg den eneste som synes at 3 års opdateringer regnet fra modellens første offentliggørelse er kort tid? Jeg kan ikke forstå modellen med at alle opdateringer, såvel centrale som perifere, skal skubbes ud gennem udbyderen (f.eks. Samsung).

  • more_vert
    • insert_linkKopier link