GoogleのProject Zero、バグの開示はパッチ提供開始の30日後に 17
ストーリー by nagazou
30日後 部門より
30日後 部門より
headless 曰く、
GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事、 SlashGearの記事、 The Vergeの記事)。
元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。
2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。
新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。
え? (スコア:0)
なんでGoogleの都合でバグを早く埋めないといけないの?
Re: (スコア:0)
初めからわざわざバグを作り込まなきゃGoogleにちょっかいを出される心配もありませんよ?
Re: (スコア:0)
それ以前の問題として脆弱性を直さなくちゃいけない義務はないよ。
メーカーは放置したって良い。信頼とか失うのも勝手。
Google は勝手に脆弱性を公開するだけだし、メーカーは勝手に直すだけ。
Google が90日で公開するのがユーザーのためになると信じてるだけで、直すかどうかは好きにすれば良い。
Re:え? (スコア:1)
本当にユーザーのためにやっているのだったら自分のところのバグも他社と同じように公開するはずだが、実際はね、、、
Project Zeroの本当の目的に気づかないの鈍すぎだろ
Re: (スコア:0)
×ユーザーのためになると信じてる
〇自分とこのユーザーじゃないからどうでもいい
Re: (スコア:0)
でもGoogle自身がバグを出したときは発表せずにこっそりゆっくり直すんだけどね
Re: (スコア:0)
それが気に入らないならGoogleより先にGoogleのバグ見つけて猶予無しで公開してやればいいじゃん。
Re: (スコア:0)
バグ修正と人殺しを同一視してる方がアホとしか言いようがないが。
どんだけバグ修正が嫌いなんだよ。
Re: (スコア:0)
比喩とツッコミ方を間違ってる。
Googleはよそのバグを見つけたって修正パッチ投げてるわけじゃなくて、報告と一定期間後の情報開示をしてるだけなんだから。
Google自身は (スコア:0)
報告されても公表せずにこっそり直した後にわからないように事後報告するのにね
Re:Google自身は (スコア:1)
そりゃ他を貶めるためにやってるからな
でなけりゃ大金使ってこんなことやる必要がない
Re:Google自身は (スコア:1)
Googleって他社の足を引っ張ったり罠に嵌めたり、商売の仕方が汚らしいんだよなぁ
Re: (スコア:0)
そのリソースを全力でAndroidのバグ取りに使えよ感。
Re: (スコア:0)
ほんと無駄な事業だから、自分閉鎖してその予算は配当に回せよ
Re: (スコア:0)
悔しければバーターできるように自分たちもそういうチームを持て。
特許と同じだよ。
Re: (スコア:0)
ブラックハットはやってるよ。
例会で発表するからそれまでに配布始めとけって。