GoogleのProject Zeroセキュリティチームは、バグ開示ポリシーにいくつかの変更を加え、14日間の猶予期間を延長し、週末と祝日をカウントから除外すると発表した。これは、Googleチームが発見したセキュリティ上の脆弱性に対処する時間をテクノロジー企業に提供するためだ。
Google、MacRumors経由:
現在、14日間の猶予期間を設けています。90日間の期限が切れる場合、ベンダーが期限前に、期限後14日以内の特定の日にパッチをリリースする予定であることを通知した場合、パッチが利用可能になるまで公開は延期されます。
Project Zeroチームは、AppleとMicrosoftが90日の期限を守れなかったことで両社のセキュリティ上の欠陥が暴露され、過去にも論争を巻き起こしている。
上記のデータを検討し、開示期限に関するいくつかの特殊なケースについて、貴重な議論と外部からのフィードバックを参考にしました。その結果、以下の点においてポリシーを改善しました。
- 週末および祝日。締め切りが週末または米国の祝日に迫っている場合、締め切りは翌営業日に変更されます。
- 猶予期間。14日間の猶予期間を設けました。90日間の期限が切れる場合、ベンダーから期限前までに期限後14日以内の特定の日にパッチをリリースする予定であることを通知されたときは、パッチが利用可能になるまで公開が延期されます。パッチ未適用の問題の公開は、期限が大幅に遅れる場合(2週間以上)にのみ行われます。
- CVEの割り当て。CVEは脆弱性を一意に識別するための業界標準です。混乱を避けるため、脆弱性に関する最初の公開情報にはCVEを含めることが重要です。期限を過ぎた脆弱性については、事前にCVEが割り当てられていることを確認します。
Project Zeroチームは、Googleとその競合他社のコードを調査してセキュリティ上の欠陥を発見する経験豊富なプログラマーのグループです。同チームは1月にAppleのOS X Yosemiteオペレーティングシステムに同様の欠陥を発見しました。チームは発見後すぐに脆弱性を企業に開示し、90日間の期限が経過すると、欠陥が公表されます。
GoogleのProject Zeroチームは、多くの議論の的となっている。同社には、Android OSの競合製品に存在する脆弱性を公表するという隠れた意図があるという意見がある一方で、同チームは適切な措置を講じていると主張する声もある。Googleは、自社および自社のOSに対して、他のテクノロジー企業に適用しているのと同じ90日間の期限ポリシーを適用していると述べている。
