Perşembe günü Google, güvenlik açığı yönetimi ekosistemini iyileştirmeyi ve istismar konusunda daha fazla şeffaflık önlemleri oluşturmayı amaçlayan bir dizi girişimi özetledi.
Şirket yaptığı duyuruda, “Sıfır gün güvenlik açıklarının kötü şöhreti tipik olarak manşetlere konu olsa da, riskler bilinip düzeltildikten sonra bile devam ediyor ki bu gerçek hikaye” dedi. “Bu riskler, OEM’in benimsenmesindeki gecikme süresinden, yama testi sorunlu noktalarına, son kullanıcı güncelleme sorunlarına ve daha fazlasına kadar her şeyi kapsar.”
Güvenlik tehditleri ayrıca satıcılar tarafından uygulanan tamamlanmamış yamalardan da kaynaklanır ve sıfır-günlerin büyük bir kısmının daha önce yamalanmış güvenlik açıklarının varyantları olduğu ortaya çıkar.
Bu tür riskleri azaltmak, güvenlik açıklarının temel nedenini ele almayı ve tüm tehdit sınıflarını ortadan kaldırmak ve olası saldırı yollarını engellemek için modern güvenli yazılım geliştirme uygulamalarına öncelik vermeyi gerektirir.
Bu faktörleri göz önünde bulunduran Google, “yeni politikaların ve düzenlemelerin güvenlik açığı yönetimi ve ifşası için en iyi uygulamaları desteklemesini sağlamak” için bir Hacking Politika Konseyi oluşturduğunu söyledi.
Şirket ayrıca, ürün portföyündeki güvenlik açıklarından aktif olarak yararlanıldığına dair kanıt bulduğunda olayları kamuya açıklama taahhüdünde bulunduğunu vurguladı.
Son olarak, teknoloji devi, güvenlik açıklarını siber güvenliği ilerletecek şekilde bulmak ve bildirmek için iyi niyetli araştırma yapan kişilere yasal temsil için tohum fon sağlamak üzere bir Güvenlik Araştırması Yasal Savunma Fonu kurduğunu söyledi.
Google’ın en son güvenlik desteği, kötüye kullanımı daha en baştan zorlaştırarak, bilinen güvenlik açıkları için yamaların benimsenmesini zamanında sağlayarak, ürün yaşam döngülerini ele alacak politikalar oluşturarak ve kullanıcıların ürünler ne zaman arızalanacağını fark etmelerini sağlayarak sıfırıncı günün ötesine bakma ihtiyacına değiniyor. aktif olarak sömürülür.
Ayrıca, yazılım geliştirme yaşam döngüsünün tüm aşamalarında tasarım gereği güvenlik ilkelerinin uygulanmasının önemini vurgulamaya hizmet eder.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Açıklama, Google’ın Go, Maven’de bulunan beş milyon açık kaynak paketinin 50 milyondan fazla sürümü için güvenlik meta verilerine ve bağımlılık bilgilerine erişim sağlayarak yazılım tedarik zincirini güvence altına almak amacıyla deps.dev API adlı ücretsiz bir API hizmeti başlatmasıyla geldi. , PyPI, npm ve Kargo havuzları.
İlgili bir geliştirmede Google’ın bulut bölümü, Java ve Python ekosistemleri için Assured Open Source Software (Assured OSS) hizmetinin genel kullanıma sunulduğunu da duyurdu.