Googleがセキュリティ開示ポリシーを変更、脆弱性を修正するための14日間の猶予期間を提供
Googleがセキュリティ開示ポリシーを変更、脆弱性を修正するための14日間の猶予期間を提供
ブレア・ハンリー・フランク著
Googleは、問題の問題を修正した同社のパッチ火曜日リリースの2日前に脆弱性に関する情報を公開したとしてMicrosoftから批判を受けたことを受けて、セキュリティ開示ポリシーを変更している。
新しいポリシーでは、Googleは他のテクノロジー製品に発見したセキュリティ脆弱性を、問題発生から90日後にベンダーに開示します。ただし、当該問題に対するパッチが当該期間内の特定の日にリリースされる予定であることをベンダーに通知した場合は、14日間の猶予期間が与えられます。さらに、90日の期限が週末または米国の祝日に当たる場合、Googleは開示を翌営業日まで延期します。
これら 2 つの変更は、日曜日に脆弱性が公表されてから 2 日後にパッチを当てた Microsoft にとって有益だったはずです。
Googleは、セキュリティ向上において期限の活用が全体として効果的であったと述べています。Project Zeroチームが報告した154件の脆弱性のうち、85%が90日以内に修正されました。さらに、2014年10月1日以降に報告・修正された73件の問題のうち、95%が期限前に修正されました。
「期限は、特に一貫して施行された場合、パッチ適用時間とエンドユーザーのセキュリティの改善に効果があるようだ」と同社の主要関係者は本日のブログ投稿で述べた。
同社はまた、他のセキュリティ研究者に対し、迅速なパッチ適用を促すため、期限を設けることを提案しました。エドワード・スノーデン氏の暴露により、世界中の諜報機関が監視活動のために比類のない脆弱性を悪用していたことが明らかになって以来、迅速なパッチ適用は近年、大手テクノロジー企業にとって重要な課題となっています。
