Google、Project Zero のバグ開示ポリシーを緩和

Google のセキュリティ チーム Project Zero は最近、Apple と Microsoft が 90 日の期限を守れなかったためにセキュリティ上の欠陥を暴露して物議を醸したことを受けて、バグ開示ポリシーの一部変更を 発表しまし た。新たな開示期限には週末と祝日を除く14日間の猶予期間が設けられており、ハイテク企業はソフトウェアのセキュリティ脆弱性に適切に対処するためのより多くの時間が与えられる。

「現在、14 日間の猶予期間があります。90 日の期限が切れるが、期限前にベンダーが期限後 14 日以内の特定の日にパッチがリリースされる予定であることを通知した場合、一般公開は行われます。」パッチが利用可能になるまで延期されます。」

Project Zero は 経験豊富なプログラマーで構成されるセキュリティ チームで、Google とその競合他社のコードを調べて、1 月に OS X Yosemite で発見された ようなセキュリティ上の欠陥を発見します。チームは発見された脆弱性を直ちにベンダーに開示し、脆弱性を一般に公開する前にソフトウェア パッチをリリースする 90 日間の期限をベンダーに与えます。

他社のセキュリティ監視役としてのGoogleの役割は多くの議論の対象となっており、同社が不誠実な意図を持っていると信じる人もいれば、適切な措置を講じていると主張する人もいる。 Googleは、ChromeとAndroidのパイプラインには同じ期限ポリシーの対象となるバグがあるため、他のテクノロジー企業に適用しているのと同じ90日ポリシーを自社でも遵守していると主張している。