Google houdt softwarebugs langer voor zichzelf
Googles Project Zero, vorig jaar geïntroduceerd om de internetveiligheid te verhogen, laat engineers van het bedrijf zogenoemde zero day-kwetsbaarheden in software en diensten opsporen. Hierbij zoekt het naar onbekende zwakke plekken en gaten waarvoor ontwikkelaars geen tijd hebben gehad om ze te verhelpen.
Wanneer een van de engineers een dergelijke kwetsbaarheid vond, gaf Google de ontwikkelaars maximaal negentig dagen de tijd om het probleem te verhelpen. Daarna maakte de internetgigant de zwakke plek publiekelijk bekend. Het bedrijf dacht dat drie maanden voldoende was voor ontwikkelaars om het gat te dichten. Maar na veel kritiek wordt die periode nu verruimd.
Als een ontwikkelaar contact opneemt met Google om aan te geven dat er gewerkt wordt aan een oplossing, maar dat deze niet op tijd af is, kunnen ze veertien dagen extra tijd krijgen voordat de zwakke plek aan het publiek bekend wordt gemaakt. Daarnaast is het bedrijf bereid om de deadline naar de eerstvolgende werkdag op te schuiven wanneer de einddatum in het weekend of op een nationale feestdag valt.
De veranderingen komen een maand nadat Microsoft openlijk Google aanviel voor het bekendmaken van een zwakke plek in Windows 8.1. Dit gebeurde twee dagen voor de patch zou verschijnen om het probleem te verhelpen. “Wat juist is voor Google is niet altijd juist voor de gebruiker”, betreurde Microsoft toen.
De kleine aanpassingen in het beleid geven ontwikkelaars iets meer ruimte om gaten te dichten. De negentig dagen van Google is echter bijlange na niet de strengste variant, maar meer de gulden middenweg. Het Zero Day Initiative – een programma dat onderzoekers beloont voor het vinden van zero-daykwetsbaarheden – geeft ontwikkelaars 120 dagen de tijd om een probleem te verhelpen, terwijl Carnegie Mellons CERT slechts 45 dagen geeft voor publicatie.