Wat je moet weten
- Google wijzigt zijn Project Zero-openbaarmakingsbeleid voor 2020.
- Google zal geen kwetsbaarheden en bugs meer bekendmaken voor het einde van de periode van 90 dagen, waardoor bedrijven de tijd hebben om grondiger te patchen.
- Dit is een beleidsproef van 12 maanden met een herevaluatieperiode aan het eind van het jaar.
Google's Project Zero ondergaat een kleine revisie in 2020 - Google zal een nieuwe wijziging uitproberen rond zijn controversiële openbaarmakingsbeleid voor kwetsbaarheden. De wijziging is al op nieuwjaarsdag ingegaan.
In het kort: in de toekomst biedt Google nu een respijtperiode van 90 dagen voor openbaarmakingen, ongeacht wanneer de bug is verholpen. Voorheen was het beleid van Google "90 dagen of wanneer de bug is opgelost", waardoor sommige bedrijven woedend werden over de schijnbare willekeur van de onthullingen. Nu probeert Google wat consistenter te zijn en zelfs de schijn van ongepastheid te vermijden.
Tim Willis van Google legde het uit het denken van het team, zeggende:
We [...] vinden het fijn dat het nieuwe beleid de consistentie van ons openbaarmakingsproces zal verbeteren, terwijl het ook eenvoudig en eerlijk blijft. Sommige leveranciers beschouwden onze vaststelling van wanneer een kwetsbaarheid werd verholpen bijvoorbeeld als onvoorspelbaar, vooral wanneer er tegelijkertijd met meer dan één onderzoeker in het team werd gewerkt. Ze zagen het als een barrière om met ons aan grotere problemen te werken, dus we gaan de barrière wegnemen en kijken of de zaken verbeteren. We hopen dat dit experiment leveranciers aanmoedigt om transparant met ons te zijn, meer gegevens te delen, vertrouwen op te bouwen en de samenwerking te verbeteren.
De nieuwe verandering in prioriteiten hier was om ervoor te zorgen dat patches zo breed mogelijk worden ontwikkeld en verspreid voordat ze aan het publiek worden gerapporteerd. Google zegt dat het heeft gezien dat bedrijven simpelweg "de scheuren wegwerken" in een poging zo snel mogelijk patches te ontwikkelen. Dat laat de kwetsbaarheden in theorie nog steeds exploiteerbaar, en Google wil die mogelijkheid vermijden. Google verwacht "herhalende en meer grondige patching van leveranciers" met "root cause and variant analysis" nu bedrijven de volledige periode van 90 dagen beschikbaar hebben.
Google test deze verandering de komende 12 maanden en het zal interessant zijn om te zien hoe andere technologiebedrijven erop reageren. Google verwacht niet dat het iedereen naar de zin zal maken, maar het ziet er op het eerste gezicht zeker beter uit dan het beleid van vorig jaar.
Dit is waarom Project Zero moet worden afgesplitst van Google