GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事、 SlashGearの記事、 The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | バグ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日
GoogleのProject Zero、GitHub Actionsの脆弱性を公表 2020年11月05日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
米Amazon、偽物対策専門ユニットを設立 2020年06月27日
セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない 2020年02月26日
GoogleのProject Zero、バグ開示の新ポリシーをテスト 2020年01月11日