Overslaan en naar de inhoud gaan

Google verandert beleid rond publiceren van bugs

Google vereenvoudigt zijn beleid van Project Zero, dat dagelijks speurt naar kwetsbaarheden in software.
zoeken
© AG Connect
AG Connect

Project Zero meldt in het vervolg publiekelijk een gevonden kwetsbaarheid na 90 dagen ongeacht of er een patch voor is uitgebracht of niet.

Tot nog toe hield het team zich aan de 90 dagen-regel, tenzij de softwaremaker eerder een patch uitbracht. Dan publiceerde Google de kwetsbaarheidsmelding ook eerder.

Dat legde nogal wat druk op de gebruikers van de software om heel snel een patch op te halen en te installeren. Het nieuwe beleid geeft de gebruikers meer tijd om hun zaakjes op orde te maken.

Op het nieuwe beleid zijn een paar uitzonderingen mogelijk.

  • Wanneer uit overleg tussen het team en de softwareleverancier blijkt dat het beter is de kwetsbaarheid eerder publiekelijk te melden.
  • Wanneer de softwareleverancier het team heeft kunnen overtuigen dat er meer tijd nodig is voor het produceren van een goede oplossing voor de kwetsbaarheid. Project Zero geeft het bedrijf dan maximaal 14 dagen respijt.
  • Wanneer kwetsbaarheden al in de praktijk worden misbruikt. Team Zero meldt de kwetsbaarheid dan onmiddellijk.

Google verwacht ook dat softwaremakers iets meer rust nemen om daadwerkelijk goede patches voor kwetsbaarheden te ontwikkelen, nu het meldingsbeleid duidelijker is. Tim Willis van Project Zero geeft aan in een blog dat Google graag ziet dat ontwikkelaars snel patches beschikbaar stellen. Tegelijk levert dat het probleem dat ontwikkelaars de makkelijkste weg kiezen om snel een probleem uit de weg te ruimen zonder de onderliggende problemen aan te pakken. Dat maakt het voor kwaadwillenden vaak weer makkelijker om hun exploits een beetje aan te passen om de patch ongedaan te maken.

Al goede resultaten bereikt

Er is nu een periode gestart waarin het nieuwe beleid wordt geëvalueerd. Volgens Google is er veel verbeterd sinds Project Zero startte in 2014. "Wij zijn trots op de resultaten die we hebben gezien", zegt Willis. Inmiddels is 97,7 procent van de bugs opgelost binnen de 90 dagen-periode. In 2014 duurde het regelmatig meer dan zes maanden voor een softwaremaker een softwarefout had gerepareerd. "Dat gezegd hebbende, weten we dat er nog steeds ruimte is voor verbetering, zowel in de snelheid waarmee industriebreed patches worden ontwikkeld als met betrekking tot het gehele beheer van kwetsbaarheden.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in