Ny 'disclosure policy' hos Google: Alle bugs bliver afsløret efter 90 dage

Illustration: Bigstock
Googles hold af sikkerhedsanalytikere, Project Zero, har ændret 'disclosure policy'. Nu går der 90 dage, før detaljer om en bug bliver afsløret, uanset om problemet bliver løst hurtigere. Tiltaget kommer sammen med to andre tiltag, der skal sikre grundigere udvikling og integrering af patches.

Project Zero, der, som mange læsere nok vil vide, er et hold sikkerhedsanalytikere ansat af Google til at finde nul-dags sårbarheder, har fra årsskiftet ændret sin politik for, hvornår sårbarheder bliver afsløret.

Der vil nu gå 90 dage, uagtet om sagen er blevet klaret inden, før oplysninger om sårbarheden bliver offentliggjort. Førhen er detaljer om sårbarheder blevet offentliggjort, så snart hullet var lukket.

Læs også: Aktivt udnyttet 0-dags-sårbarhed lukket ned i Chrome

Hos Project Zero forklarer man den nye politik sådan her:

»Fix a bug in 20 days? We will release all details on Day 90. Fix a bug in 90 days? We will release all details on Day 90.«

Dog kan der, hvis der bliver indgået en aftale mellem Project Zero og en virksomhed, være undtagelser, hvor bugs bliver afsløret hurtigere end de 90 dage, skriver Tim Willis fra Project Zero.

Nye politikker om patches

Det nye tiltag kommer i forlængelse af to nye målsætninger fra Project Zero.

For det første vil man have grundig udvikling af patches, som altså skal adressere den egentlige grund til problemet. Kort sagt: Ingen lappeløsninger.

For det andet vil Project Zero give samarbejdspartnere bedre mulighed for at implementere de patches, der skal lukke hullerne, inden de bliver offentliggjort.

Læs også: Kinesiske white hats bryder ind i Chrome, Safari og Edge

Project Zero havde ved sin opstart i 2014 sager, der tog op mod seks måneder at løse, mens 97,7 pct. af holdets sager nu lukkes på kortere tid end 90 dage.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Clausen

... at resten af familien i Android-fødekæden følger med, så alle enheder får relevante opdateringer, og ikke kun Googles egne (og til nød Samsung og de andre store). Er jeg den eneste som synes at 3 års opdateringer regnet fra modellens første offentliggørelse er kort tid? Jeg kan ikke forstå modellen med at alle opdateringer, såvel centrale som perifere, skal skubbes ud gennem udbyderen (f.eks. Samsung).

  • 1
  • 0
Log ind eller Opret konto for at kommentere