Google의 Project Zero 보안팀은 이제 발견한 취약점을 공개하기까지 90일을 기다립니다.

Google의 Project Zero 보안팀은 이제 발견한 취약점을 공개하기까지 90일을 기다립니다.

Project Zero는 Google이 고용한 보안 부서입니다. 2014년 설립. 팀의 주요 임무는 제로데이 취약점, 즉 완화에 관심이 있는 당사자가 알려지지 않은(또는 해결되지 않은) 취약점을 발견하는 것입니다. '하트블리드'는 그러한 제로데이 익스플로잇 중 하나, 두 개의 별도 보안 팀이 OpenSSL에 비공개적으로 보고한 내용입니다. 이러한 보안 팀 중 하나는 Google에서 운영되었으며 결국 Project Zero가 탄생하게 되었습니다. 이 버그는 2014년 4월에 발견되었으며, 버그가 수정된 OpenSSL 빌드가 며칠 후 버그 전체 공개와 함께 출시되었습니다. 이러한 전체 공개는 즉시 업데이트되지 않은 시스템이 위험에 처해 있음을 의미하지만 이는 일반적으로 개발자 팀이 소프트웨어를 업데이트하도록 동기를 부여하는 역할을 합니다.

그 이후로 Google의 Project Zero는 비슷한 방식으로 작동했습니다. 제로데이 버그가 발견되면 팀은 해당 소프트웨어를 소유한 회사에 이를 개인적으로 보고합니다. 공개일로부터 회사는 90일 이내에 버그를 수정해야 합니다. 90일 기간이 완료되기 전에 문제를 해결하면 Google은 취약점에 대한 세부정보를 공개합니다. 문제가 해결되지 않고 90일이 지나면 팀은 어쨌든 취약점을 공개할 것입니다. 사용자는 자신이 사용하는 소프트웨어에 발생할 수 있는 문제를 인식하는 동시에 잠재적으로 회사가 일하도록 동기를 부여합니다. 더 빠르게. 공급업체가 이 시스템에 대해 인식하는 한 가지 결함이 있는데, Heartbleed와 마찬가지로 사용자는 (또는 개발자)는 피해자가 되기 전에 시스템을 충분히 빠르게 업그레이드하지 못할 수도 있습니다. 착취. 이러한 이유로 Project Zero 팀은 취약점이 아무리 빨리(또는 느리게) 수정되더라도 90일을 기다리는 시험을 1년 동안 시도한다고 발표했습니다.

버그가 실제로 악용되고 있다는 증거를 발견한 경우 7일 이내에 버그를 공개한다는 Google의 정책은 영향을 받지 않습니다. 같은 블로그 게시물에서 Project Zero 팀은 다른 여러 가지 작은 변경 사항도 발표했습니다. 또한 Google은 발견한 모든 문제의 97.7%가 90일 이내에 해결되었음을 발표하게 된 것을 자랑스럽게 생각합니다. 아래에서 전체 블로그 게시물을 읽을 수 있습니다.


원천: 구글 프로젝트 제로