Daha hızlı güvenlik açığı duyuruları yapmak için Google’ın Project Zero


Google’ın Project Zero ekibindeki seçkin böcek avcıları, “yukarı akış yama boşluğunu küçültmek” için satıcılara bildirdikten sonra bir hafta içinde güvenlik açıklarını keşfettilerse, halka açık bir şekilde paylaşacaklar,

Daha hızlı güvenlik açığı duyuruları yapmak için Google'ın Project Zero


Project Zero, “yukarı akış yama boşluğunu” bir yukarı akış satıcının bir düzeltmeye sahip olduğu dönem olarak tanımlar, ancak aşağı akış bağımlıları onu son ürünlerine entegre etmedi.

Project Zero Güvenlik Mühendisliği Müdürü Tim Willis, yeni politika, güvenlik açığı düzeltmelerinin son kullanıcı cihazlarına ulaşma süresini azaltma çabası olarak denenecek.

“Son kullanıcı için, A satıcısından satıcı B’ye bir yama serbest bırakıldığında bir güvenlik açığı düzeltilmez; sadece güncellemeyi indirip cihazlarına yüklediklerinde sabitlenir.

“Tüm bu zinciri kısaltmak için yukarı akış gecikmesini ele almamız gerekiyor.”

Yeni politika, 2020’de tanıtılan Project Zero’nun satıcı hata düzeltmesi artı yama benimseme için 90+30 günlük ödenek değiştirmeyecek.

Willis ayrıca, Project Zero’nun teknik ayrıntıları, konsept kodunun kanıtı veya hataları düzeltmek için son başvuru tarihinin süresi sona erene kadar maddi olarak yardımcı olacağına inandığı diğer bilgileri paylaşmayacağından, değişikliğin saldırganlara da yardımcı olmayacağını söyledi.

Güvenlik danışmanı Lee Barney, Project Zero’nun açıklama politikası değişikliklerini memnuniyetle karşıladı.

Barney, “Google Invest In Güvenlik Araştırmasına Yatırım gibi önde gelen teknoloji şirketlerini görmekten ve sektör standartlarını iyileştirmek için yumuşak güçlerini kullandığım için mutluyum.” Dedi.

Ancak, hükümetin daha aktif hale gelmesi de dahil olmak üzere daha fazlası yapılabilir.

“Project Zero’nun güvenlik açığı açıklamasına yeni yaklaşımı şeffaflığı arttırır ve tedarik zincirlerimizde hızlı, anlamlı ve kalıcı bir değişim için daha fazla baskı oluştururken, son zamanlarda tanıtılanlar gibi hükümetten daha güçlü bir düzenleme gerektirir. Avustralya Siber Güvenlik Yasası IoT cihazları için, “dedi Barney.

Diyerek şöyle devam etti: “Project Zero gibi girişimler önemli bir güç çarpanıdır, ancak gerçek ilerleme, çıtayı yükseltmek için birlikte çalışan işletmelere ve hükümetlere bağlıdır.”



Source link