Googles Project Zero herziet beleid rond veiligheidslekken

Googles Project Zero heeft zijn beleid rondom het openbaar maken van veiligheidslekken aangepast. In 2020 start Project Zero met een trial waarin zij de standaard 90 dagen aanhouden, ook wanneer de bug al tijdig is gefixt.

Dit geeft de softwareontwikkelaars voldoende de tijd om aan een patch te werken en al zijn eindgebruikers voldoende te beschermen.

Manger van Project Zero, Tim Wellis, zegt niet alleen aan een snelle patch ontwikkeling te willen werken maar ook aan grondige en betere patch ontwikkeling tegen veiligheidslekken. De standaard van 90 dagen moet de softwareontwikkelaars de rust en tijd geven om consistent veiligheidslekken te dichten.

Het nieuwe beleid wordt een jaar getest voordat de onderzoekers van Project Zero besluiten of ze het voor langere tijd implementeren.

Controverse rond 90-dagen beleid

Er was eerder al controverse rondom het oude 90-dagen beleid van Project Zero, met name in het vroegtijdig bekendmaken van bugs. Na opsporing van veiligheidslekken krijgt de fabrikant altijd 90 dagen de tijd om een patch te ontwikkelen. Als dit niet gebeurt, maakt Project Zero de veiligheidslekken openbaar. 

Echter, wanneer er eerder dan 90 dagen een patch ontwikkeld was werd het lek voortijdig openbaar gemaakt. Dit tot frustratie van de fabrikant en zijn eindgebruikers, die vaak nog niet allemaal de patch hadden geïnstalleerd. Deze groep werd zo een makkelijk doelwit voor hackers. Met deze aanpassing lijkt Project Zero dit kritieke punt op te willen lossen.

Uitzondering

Er is een uitzondering op het beleid. In overeenstemming met de fabrikant kan Project Zero de beveiligingslekken eerder dan de 90 dagen openbaar maken. Dit kan wanneer de fabrikant zijn persberichten wil synchroniseren met de opening van de Project Zero tracker rapporten.  Zo wordt er transparantie gecreëerd en minimaliseert het de vragen en verwarring bij de eindgebruikers.

Ook kan de fabrikant om 14 dagen uitstel vragen wanneer zij langer de tijd nodig hebben om een patch te ontwikkelen. Wanneer bugs gefixt worden in deze zogenaamde ‘grace period’, worden de Project Zero tracker rapporten onmiddellijk geopend.

Bijna 98% is binnen drie maanden gedicht

Ondanks de aanpassingen in het beleid is Wellis tevreden met de resultaten. Sinds de oprichting van Project Zero in 2014 zijn er goede resultaten geboekt.  In 2014 duurde het oplossen van issues vaak tot zes maanden. In 2019 wordt 97,7% van alle veiligheidslekken gedicht binnen de 90 dagen.