Google Project Zero schakelt over naar’90+30’-model bij publicatie kwetsbaarheden

Tot heden hanteerde Google Project Zero altijd de regel dat 90 dagen na het ontdekken van een kwetsbaarheid een onderzoeksrapport gepubliceerd wordt. Ongeacht hoe ver het op dat moment staat met de ontwikkeling van een oplossing. Voor een kwetsbaarheid waarvoor bewijs is dat hackers ze actief misbruiken, kan publicatie zelfs al binnen de 7 dagen. Middels een blogpost heeft Google aangekondigd het rapportagesysteem van Project Zero te gaan herbekijken. Er zal daarbij worden gewerkt aan de hand van een ‘90+30’-systeem.

Wat houdt ‘90+30’ nu juist in? De regel blijft om software-ontwikkelaars 90 dagen de tijd te geven om een patch te ontwerpen voor een onthulde kwetsbaarheid. Enkel het tijdstip van publicatie kan aangepast worden om ontwikkelaars wat extra respijt te geven. Als binnen de 90 dagen een patch is uitgerold, zal Google Project Zero nog dertig dagen wachten om een rapport te publiceren. Deze nieuwe regel geldt ook voor actieve kwetsbaarheden als ze binnen de 7 dagen worden gepatcht. Lukt dat niet, dan hoeven ze niet op respijt te rekenen.

Snellere en betere patches

Met dit nieuwe rapportagebeleid wil Google de snelheid en kwaliteit van beveiligingspatches opschroeven. Ontwikkelaars moeten het zeker niet opvatten als uitstel om een oplossing te ontwikkelen. De 30 dagen respijt dienen vooral om de tijd tussen ontwikkeling en adoptie van een patch te verkorten. Google merkte dat details over een kwetsbaarheid te vroeg publiceren geen positief effect op de adoptie van een patch had. Het 90+30-model probeert daarom een betere balans te zoeken tussen ontwikkeling en adoptie. Het nieuwe beleid treedt onmiddellijk in werking.

Google Project Zero is een team van externe beveiligingsexperts die in opdracht van Google zoeken naar kwetsbaarheden in de eigen software en die van anderen. Het project lanceerde in 2014 en heeft de voorbije jaren zijn waarde al meermaals bewezen.