GoogleのProjectZeroにより、技術系企業は脆弱性を修正するのに時間がかかる

ゼロデイソフトウェアの脆弱性を突き止める仕事をしている検索大手に雇用されているセキュリティ専門家のチームであるGoogleProject Zeroは、脆弱性開示ガイドラインを更新しました。

更新されたポリシーにより、一部のセキュリティバグの開示に30日間のウィンドウが追加されます。これ以前は、Googleの研究者は、90日間のウィンドウの終了時、またはバグにパッチが適用された後に、脆弱性の詳細をオンラインバグトラッカーに公開していました。

パッチが長くなる

追加の1か月(約)により、脆弱性の詳細がオンラインで共有される前に、ベンダーとユーザーの両方がソフトウェアに必要なパッチを開発、共有、およびインストールするのに少し時間がかかります。脆弱性の詳細がオンラインで共有されると、攻撃者によって攻撃される可能性があるため、これは朗報です。

ほとんどの場合、パッチは脆弱性の詳細が公開される時点でリリースされていますが、それでもユーザーがパッチを自分でインストールしたことに依存しています。場合によっては、これは時間のかかる作業になる可能性があります。したがって、Googleの30日延長は朗報です。

「2021年のポリシー更新の目標は、パッチ採用のタイムラインを脆弱性開示ポリシーの明示的な部分にすることです」と、Project ZeroVendorsのTimWillisは、変更について説明したブログ投稿で述べています。 「ベンダーは、パッチ開発に90日、パッチ採用にさらに30日かかります。」

Project Zeroはさらに、追加の30日間の猶予期間を、実際のユーザーに対して積極的に悪用されているゼロデイの脆弱性にまで延長しています。パッチの開示期限はわずか7日ですが、技術的な詳細は、問題が開発者によって修正されている限り、修正後30日でのみ公開されます。そうでない場合、技術的な詳細はすぐに公開されます。

ゼロデイ脆弱性にも拡張

これらの新しいルールは2021年に適用されますが、将来、状況は再び変わる可能性があります。ブログ投稿にあるように、「私たちの好みは、ほとんどのベンダーが一貫して満たすことができる出発点を選択し、その後、パッチ開発とパッチ採用の両方のタイムラインを徐々に下げることです。」

この種の開示を正しく行うことは困難な作業であり、ユーザーの最善の利益と、開発者にパッチの開発とリリースに十分な時間を与えることのバランスを取ります。 Project Zeroチームが明確に認識しているように、これはサイバーセキュリティとパッチ対策が発展するにつれて微調整され続ける領域です。

しかし今のところ、Googleのセキュリティ専門家が正しいことをしていないことを示唆するのは難しいでしょう。

画像クレジット:Mitchell Luo / Unsplash CC