パスワードを忘れた? アカウント作成
15262736 story
バグ

GoogleのProject Zero、バグの開示はパッチ提供開始の30日後に 17

ストーリー by nagazou
30日後 部門より
headless 曰く、

GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事SlashGearの記事The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。

  • by Anonymous Coward on 2021年04月19日 15時30分 (#4016000)

    なんでGoogleの都合でバグを早く埋めないといけないの?

    ここに返信
    • by Anonymous Coward

      初めからわざわざバグを作り込まなきゃGoogleにちょっかいを出される心配もありませんよ?

      • by Anonymous Coward

        それ以前の問題として脆弱性を直さなくちゃいけない義務はないよ。
        メーカーは放置したって良い。信頼とか失うのも勝手。
        Google は勝手に脆弱性を公開するだけだし、メーカーは勝手に直すだけ。
        Google が90日で公開するのがユーザーのためになると信じてるだけで、直すかどうかは好きにすれば良い。

        • by Anonymous Coward on 2021年04月19日 21時04分 (#4016294)

          本当にユーザーのためにやっているのだったら自分のところのバグも他社と同じように公開するはずだが、実際はね、、、
          Project Zeroの本当の目的に気づかないの鈍すぎだろ

        • by Anonymous Coward

          ×ユーザーのためになると信じてる
          〇自分とこのユーザーじゃないからどうでもいい

      • by Anonymous Coward

        でもGoogle自身がバグを出したときは発表せずにこっそりゆっくり直すんだけどね

        • by Anonymous Coward

          それが気に入らないならGoogleより先にGoogleのバグ見つけて猶予無しで公開してやればいいじゃん。

  • by Anonymous Coward on 2021年04月19日 15時44分 (#4016010)

    報告されても公表せずにこっそり直した後にわからないように事後報告するのにね

    ここに返信
    • by Anonymous Coward on 2021年04月19日 18時55分 (#4016181)

      そりゃ他を貶めるためにやってるからな
      でなけりゃ大金使ってこんなことやる必要がない

      • by Anonymous Coward on 2021年04月19日 21時20分 (#4016308)

        Googleって他社の足を引っ張ったり罠に嵌めたり、商売の仕方が汚らしいんだよなぁ

        • by Anonymous Coward

          そのリソースを全力でAndroidのバグ取りに使えよ感。

      • by Anonymous Coward

        ほんと無駄な事業だから、自分閉鎖してその予算は配当に回せよ

    • by Anonymous Coward

      悔しければバーターできるように自分たちもそういうチームを持て。
      特許と同じだよ。

      • by Anonymous Coward

        ブラックハットはやってるよ。
        例会で発表するからそれまでに配布始めとけって。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...