Google Project Zeroは、製品に脆弱性が発見されたことを公表することでアップストリームパッチギャップを縮小することを目的とした新方針を導入しました。
この試験的な方針「Reporting Transparency(報告の透明性)」は、長年実施されてきたGoogleの90日間の情報公開期限ポリシーには影響せず、新たなセキュリティ欠陥の悪用にも影響を与えないと見込まれています。
新方針によれば、Googleはバグをベンダーに報告してから1週間以内に、その脆弱性が報告されたこと、90日間の情報公開期限がいつ切れるか、影響を受ける製品、そしてベンダー名またはオープンソースプロジェクト名を公表します。
「この試験的方針では、既存の90+30ポリシーを維持します。つまり、ベンダーはバグが公開される前に修正するための90日間があり、期限前に修正された場合はパッチ適用のための30日間の猶予期間があります」とGoogleは強調しています。
Googleによれば、透明性の向上により、アップストリームベンダーがパッチをリリースしてからダウンストリームベンダーが自社製品に組み込むまでの期間、すなわちアップストリームパッチギャップが縮小されるはずです。
「脆弱性がアップストリームに報告されたという早期のシグナルを提供することで、ダウンストリームの関係者により良い情報を提供できます。当社が扱う少数の問題については、ユーザーに影響を与える可能性のある問題を監視するための追加情報源となります」とGoogleは述べています。
この方針はまた、アップストリームとダウンストリームのベンダー間のコミュニケーションや、エンドユーザーへのパッチ適用の改善にも寄与すると期待されています。
「このデータにより、研究者や一般の人々が、修正が最初に報告されてからユーザーのデバイスに届くまでにどれだけ時間がかかるかを追跡しやすくなります(特に修正が決して届かない場合は重要です!)」とインターネット大手は指摘しています。
広告。スクロールして読み続けてください。
この試験的方針により新たな脆弱性への公的な注目が高まる可能性はありますが、技術的な情報やPoC(概念実証)コード、その他の詳細な情報は公開されないため、攻撃者の助けにはなりません。
Googleによれば、新方針はダウンストリームエコシステムを持たないベンダーにとっては、彼らだけが解決できる問題に注目が集まるという望ましくない影響を及ぼす可能性がありますが、これらのベンダーがProject Zeroによって報告される脆弱性全体に占める割合はごくわずかです。
「公平でシンプル、一貫性があり透明性の高い方針のメリットは、ごく少数のベンダーに生じる不便のリスクを上回ると私たちは考えています」とGoogleは述べています。
関連記事: 大手テック企業、サポート終了時のセキュリティ情報開示標準を提案
関連記事: 金融機関、CISAにCIRCIA実施案の見直しを要請
関連記事: あなた対世界:違反者のジレンマ
関連記事: 情報開示における「恥文化」の変革
翻訳元: https://www.securityweek.com/google-project-zero-tackles-upstream-patch-gap-with-new-policy/