PR

Google Project Zeroが新ポリシーでアップストリームパッチギャップを解消

Security

Source: https://www.securityweek.com/google-project-zero-tackles-upstream-patch-gap-with-new-policy/

スポンサーリンク

🛡 概要

Google Project Zeroは新しいポリシーを導入し、製品における脆弱性を特定した際に、その情報を公開することでアップストリームパッチギャップを減少させることを目指しています。この試験的なポリシーは「報告透明性」と呼ばれ、長年続いている90日間の開示期限ポリシーには影響を与えないとしています。具体的には、バグをベンダーに報告してから1週間以内に、その脆弱性が報告されたこと、90日間の開示期限の満了日、影響を受ける製品、ベンダー名またはオープンソースプロジェクト名が公表されます。

🔍 技術詳細

この新ポリシーは、脆弱性の報告を受けた後、90日間の修正期間を維持するもので、修正された場合はさらに30日のパッチ適用期間が設けられています。Googleによれば、脆弱性がアップストリームで報告されたことを早期に知らせることで、ダウンストリームの依存関係に対してより良い情報提供が可能となります。これにより、ユーザーに影響を及ぼす可能性のある問題を監視するための情報源が増えることが期待されています。また、パッチの適用がユーザーにとってより円滑になることも目指しています。

⚠ 影響

このポリシーは、脆弱性に対する公の関心を高めることが期待されますが、攻撃者にとっては技術情報やPoCコードなどの詳細が共有されないため、直接的な利益はないとされています。しかし、ダウンストリームエコシステムが存在しないベンダーには不利な影響を及ぼす可能性があり、特定の問題に注目が集まることで、彼らが解決しなければならない課題が浮き彫りになるかもしれません。ただし、これらのベンダーはProject Zeroが報告する脆弱性のごく一部に過ぎません。

🛠 対策

今後、Googleの新ポリシーに基づき、ベンダーは脆弱性報告に迅速に対応する必要があります。特に、アップストリームでのパッチがリリースされた際には、ダウンストリームの製品に迅速に適用できる体制を整えることが求められます。また、ユーザーは自らのデバイスにおけるパッチの適用状況を定期的に確認し、セキュリティのリスクを軽減するための意識を高めることが重要です。Googleは、この透明性の向上により、全体的なセキュリティ環境が改善されることを期待しています。

Security
スポンサーリンク