Google の Project Zero セキュリティ チームは今後、発見した脆弱性を公開するまで 90 日間待機する予定です。
Project Zero は Google が雇用するセキュリティ部門です。 2014年に設立. チームの主な使命は、ゼロデイ脆弱性、つまり緩和に関心があるはずの当事者が未知の (または対処していない) 脆弱性を発見することです。 「ハートブリード」は、 そのようなゼロデイエクスプロイトの 1 つ、これは 2 つの別々のセキュリティ チームによって OpenSSL に非公開で報告されました。 これらのセキュリティ チームの 1 つは Google の下で運営され、最終的に Project Zero の創設につながりました。 このバグは 2014 年 4 月に発見され、バグが完全に公開されるとともに、バグが修正された OpenSSL のビルドが数日後にリリースされました。 この完全な開示は、すぐに更新されないシステムが危険にさらされていることを意味しますが、一般に開発者チームがソフトウェアを更新する動機として機能します。
それ以来、Google の Project Zero も同様の方法で機能してきました。 ゼロデイ バグが発見された場合、チームはソフトウェアを所有する企業に非公開で報告します。 開示日から、同社にはバグを修正するための期限が 90 日間あります。 90 日間の期間が完了する前に修正された場合、Google は脆弱性の詳細を公開します。 修正されずに 90 日が経過した場合でも、チームはいずれにせよ脆弱性を解放します。 ユーザーは、使用しているソフトウェアが抱えている可能性のある問題を認識できると同時に、企業の仕事のモチベーションにもつながる可能性があります。 もっと早く。 このシステムにはベンダーが認識している欠陥が 1 つあります。Heartbleed と同様に、ユーザーが (または開発者は)システムを十分に速くアップグレードできないと、被害を受ける可能性があります。 搾取。 このため、Project Zero チームは、脆弱性の修正がどれほど早く (または遅く) ても、年内は 90 日間待つことを試験的に実施すると発表しました。
バグが実際に悪用されている証拠を見つけた場合は 7 日以内にバグを公開するという Google のポリシーは影響を受けません。 同じブログ投稿で、Project Zero チームは他の多くの小さな変更も発表しました。 また、Google は、発見されたすべての問題の 97.7% が 90 日以内に修正されたことを誇りに思っています。 以下のブログ投稿全文を読むことができます。
ソース: Google プロジェクト ゼロ