Googles Project Zero, wat vorig jaar geïntroduceerd is om de internetveiligheid te verhogen, laat de engineers van het bedrijf zogenoemde zero-day kwetsbaarheden in diensten en software op te sporen. Hierbij gaan ze op zoek naar onbekende zwakke plekken en gaten waarvoor ontwikkelaar geen tijd hebben gehad om deze te verhelpen.
Wanneer een van de engineers een dergelijke kwetsbaarheid vond, gaf Google de ontwikkelaars maximaal negentig dagen de tijd om het probleem te verhelpen. Daarna maakte de internetgigant de zwakke plek publiekelijk bekend. Het bedrijf dacht dat drie maanden voldoende was voor ontwikkelaars om het gat te dichten. Maar na veel kritiek wordt die periode nu verruimd.
Wanneer een ontwikkelaar contact opneemt met Google om aan te geven dat er gewerkt wordt aan een oplossing, maar dat het niet op tijd is, kunnen ze 14 dagen extra tijd krijgen voordat de zwakke plek aan het publiek bekend gemaakt wordt. Daarnaast is het bedrijf bereid om de deadline naar de eerstvolgende werkdag op te schuiven wanneer de einddatum in het weekend of op een nationale feestdag valt.
De veranderingen komen een maand nadat Microsoft openlijk Google aanviel voor het bekendmaken van een zwakke plek in Windows 8.1. Dit gebeurde twee dagen voor de patch zou verschijnen om het probleem te verhelpen. “Wat juist is voor Google is niet altijd juist voor de gebruiker”, betreurde Microsoft toen.
De kleine aanpassingen in het beleid geven ontwikkelaars iets meer ruimte om gaten te dichten. De negentig dagen van Google is echter bijlange na niet de strengste variant, maar meer de gulden middenweg. Het Zero Day Initiative – een programma dat onderzoekers beloont voor het vinden van zero-daykwetsbaarheden – geeft ontwikkelaars 120 dagen de tijd om een probleem te verhelpen, terwijl Carnegie Mellons CERT slechts 45 dagen geeft voor publicatie.
Google houdt softwarebugs langer voor zichzelf
Geen opmerkingen:
Een reactie posten