Google güvenlik açığı açıklamasını değiştiriyor

Hemen geçerli olan bir deneme politikası kapsamında, Google’ın Project Zero ekibi, başka bir şirkete yaptığı herhangi bir güvenlik açığı bildiriminden itibaren yedi gün içinde halka genel bir uyarı yayınlayacaktır. Uyarı, Hasarsız Ürünü adlandırır, satıcı bilgilendirildiğinde ve Google, Google’ın bildirimini yaptıktan 90 gün sonra gerçekleşen kusurun tüm ayrıntılarını kamuya açık bir şekilde yayınladığında.

“Şeffaflığı raporlama” olarak adlandırılan bu deneme politikası, bir düzeltmenin mevcut olduğu dönem olan yukarı akış yama boşluğunu küçültmeyi amaçlamaktadır, ancak nihayetinde kullanıcılara gönderim düzeltmelerinden sorumlu olan aşağı akış bağımlıları, Google Project Zero başkanı Tim Willis, bir blog yazısında Google Project Zero başkanı. On yıldan fazla bir süredir aktif olan Google birimi, satıcılara ve açık kaynaklı proje ekiplerine yazılım güvenlik açıklarını bulur ve rapor eder.

Google, yamalı sürücüler geliştiren ve OEM’lere gönderen yonga seti üreticileri gibi birden fazla satıcı söz konusu olduğunda önemli gecikmeler gördüğünü bildiriyor. Willis, “Son kullanıcı için, A satıcısından B’ye B’ye bir yama serbest bırakıldığında bir güvenlik açığı düzeltilmez.” Dedi. “Sadece güncellemeyi indirip cihazlarına yüklediklerinde düzeltiliyor.”

Google’ın deneme yaklaşımı, bir proje sıfır bildirimi alan bir şirketten ve aşağı akım bağımlılarının yamayı serbest bırakmasından zamanın uzunluğunu izlemeyi kolaylaştırabilir.

İngiltere Hükümeti Siber Güvenlik Danışma Kurulu’nu eşleştiren uzun süredir siber güvenlik araştırmacısı Daniel Cuthbert, “Şu anda yama boşluğu ile ilgili önemli bir sorun var ve bir kullanıcıya ihtiyacımız olan bir kullanıcıya yönelik olarak hatadan zamanında sağlam metriklerimiz yok.” Dedi.

Google, 2014 yılında Project Zero’yu başlattığından beri açıklama politikalarını birkaç kez ayarladı. İlk başta, satıcılara istisnasız bir güvenlik açığı hakkında otomatik olarak tüm ayrıntıları yayınlamadan önce 90 günlük koordineli bir açıklama tarihi verdi.

2021 yılında Google, daha fazla havuç ve daha az sopa sunan 90+30 politikasını benimsedi. Bir satıcı 90 günlük dönemde herhangi bir zamanda bir yama çıkarsa, Project Zero, son kullanıcılara yamaya zaman vermek için kusur halinin ayrıntılarını vermeden 30 gün önce bekler.

Google’ın koordineli güvenlik açığı açıklama yaklaşımı vardır; Diğer şirketlerin kendileri var.

Siber güvenlik firması Rapid7’nin CVD politikası, 15 gün sonra ABD sertifikası koordinasyon merkezini bilgilendirerek bir satıcıya özel açıklama ile başlar ve satıcılara bir yamayı düzeltmeleri için 60 gün, detaylar yayınlamadan önce 30 günlük bir uzantılıdır. Vahşi doğada bir güvenlik açığı zaten kullanılıyorsa, Rapid7 genellikle tüm ayrıntıları 72 saat içinde yayınlar.

İstisnalar geçerlidir. Rapid7, Haziran ayında, önceki 13 ay boyunca, beş satıcıdaki 748 yazıcı modelinde güvenlik açıklarının açıklanmasını koordine etmek için Japonya’nın JPCert/CC ile birlikte yazıcı Giant Brother ile çalıştığını açıkladı.

Rapid7’nin baş bilim adamı Raj Samani, Google’ın şeffaflık girişimini, vahşi doğada keşfedilen sıfır gün güvenlik açıklarının yükselen bir gelgiti arasında tartışmayı teşvik etmek için “kesinlikle mükemmel” olarak nitelendirdi. Ancak şimdilik, başta iyi çalışıyor gibi göründüğü için Rapid7’nin açıklama metodolojisini değiştirmeyi beklemiyor.

“Bu bir Pandora’nın kutusu, ancak iyi niyetle yamalar ve iyileştirme yolları geliştirmeye çalışan birçok satıcı alıyoruz” dedi. Samani, “Bir güvenlik açığını ifşa etme konusunda çatışan şirketler alırsak, herhangi bir acele ile iyileştirmek istemiyorlar ve birkaç kez bu konuda kamuya açıklandığımızda, diğer tarafın ne dediğine bakılmaksızın hala yayınlamaktan mutluluk duyuyoruz.” Dedi. Diyerek şöyle devam etti: “Yolumuza dayanmaktan korkmuyoruz, ancak tatmin edici bir yaklaşıma gelmek için elimizden gelen her şeyi yapacağız, böylece sorun açıklanmadan önce satıcı tarafından yürürlükte.”

Cuthbert, “‘Sorumlu ifşa’ özenle küratörlü bir dans.” Dedi.