Googleは、影響を受けるベンダーに通知してから1週間以内に脆弱性の発見を公開報告する方針を開始します。
この試験的な方針は「Reporting Transparency(報告の透明性)」と名付けられており、脆弱性に関する透明性を高め、攻撃者がネットワークに侵入するきっかけとなりうる欠陥をエンドユーザーがより早く修正できるよう促進することを目的としています。
GoogleのProject Zeroチームは、脆弱性の公開に関する既存の「90+30ポリシー」を維持します。これは、ベンダーに対して完全公開の前に90日間の猶予を与え、バグが期限前に修正された場合はさらに30日間のパッチ適用期間を認めるものです。
しかし、7月29日以降、Project Zeroはベンダーへの通知から1週間以内に発見内容の限定的な情報も公開します。公開される情報は以下の通りです:
- 報告を受け取ったベンダーまたはオープンソースプロジェクト
- 影響を受ける製品
- 報告が提出された日付と、90日間の公開期限が切れる日
この情報は、エンドユーザーに「シグナル」を提供し、自分が新たな脆弱性の影響を受けている可能性を認識できるようにし、特定の製品に関する問題を監視することができると、Google Project Zeroの研究者であるTim Willis氏は7月29日に公開したブログで述べています。
このシグナルは、「アップストリームパッチギャップ」―アップストリームベンダーが修正を提供しているにもかかわらず、最終的にユーザーに修正を届ける責任を持つダウンストリームの依存先がまだそれを自社製品に統合していない期間―を短縮することを目指しています。Willis氏によれば、このパッチギャップは脆弱性のライフサイクルを大幅に延長させる要因となっています。
「この試験的取り組みが、アップストリームベンダーとダウンストリーム依存先の間でセキュリティに関するより強固なコミュニケーションチャネルの構築を促し、エンドユーザー向けのより迅速なパッチ提供とパッチ適用の向上につながることを期待しています」とWillis氏は述べています。
Project Zeroは、Googleが雇用するセキュリティアナリストのチームで、脅威アクターよりも先にゼロデイ脆弱性を発見することを任務としています。
Google「早期公開は攻撃者の助けにはならない」
このブログでは、初期公開時には攻撃者が悪用に利用できる情報は一切提供されないことが強調されています。
「明確にしておきたいのは、技術的な詳細や概念実証コード、または発見を実質的に助けると考えられる情報は、期限まで一切公開しません。Reporting Transparencyは警告であり、攻撃者のための設計図ではありません」とWillis氏はコメントしています。
Willis氏は、一部のベンダーはこの方針によって自分たちだけが対処できる脆弱性に関する不要な騒ぎや注目が生まれると考えるかもしれないと認めています。しかし、彼は透明性向上によるメリットは、ごく一部のベンダーにとっての不便というリスクを上回ると述べています。
早期公開の試験期間の長さについては詳細は明らかにされていませんが、その影響はGoogleによって綿密に監視される予定です。
「私たちは、最終的な目標である『脆弱性が単にアップストリームのコードリポジトリで修正されるだけでなく、人々が日々利用するデバイス、システム、サービス上でも修正される』というより安全なエコシステムの実現につながることを期待しています」とWillis氏は付け加えています。
翻訳元: https://www.infosecurity-magazine.com/news/google-report-new-vulnerabilities/