Sicherheit: Google Project Zero testet neue Richtlinien
Die Regeln für Googles Project Zero sind vielen bekannt. Werden Sicherheitslücken gefunden, so werden diese vertraulich gemeldet. Die betroffenen Unternehmen haben dann 90 Tage Zeit, diese Lücken zu flicken und Patches zu verteilen. Geschieht dies nicht, so wird die Lücke offengelegt. Lief aber auch nicht immer ganz rund, wie die Vergangenheit zeigte, vorzeitiges Bekanntgeben von Lücken, halbherzige Fixes und andere Probleme gab es da in der Vergangenheit. Nun hat man sich für leicht geänderte Richtlinien entschlossen.
Nun wird Google 90 Tage warten, um einen Fehler offenzulegen, auch wenn dieser vor Fristende behoben wurde. Bedeutet: Wer schnell handelt, der kann flott Lücken und Fehler fixen und hat noch Zeit, um auch zu testen, dass alles korrekt arbeitet. Aber das war noch nicht alles. Auf der anderen Seite werden die Daumenschrauben aber auch angezogen. Unvollständige Fixes werden demnach vom Project Zero an den Entwickler gemeldet und dem bestehenden Berichten hinzugefügt. Bedeutet: kein neuer Bericht, nicht wieder 90 Tage Zeit. Immerhin: Es gibt noch eine Nachfrist.
Die Nachfrist beträgt weitere 14 Tage, die ein Anbieter beantragen kann, wenn er nicht damit rechnet, dass eine gemeldete Schwachstelle innerhalb von 90 Tagen behoben wird, sondern innerhalb von 104 Tagen. Wenn eine Karenzzeit beantragt wird und ein Fehler zwischen 90 und 104 Tagen nach der Meldung behoben wird, werden die Fehlerdetails am Tag der Behebung des Fehlers veröffentlicht. Für Schwachstellen, deren Behebung voraussichtlich länger als 104 Tage dauern wird, werden keine Gnadenfristen gewährt.
Dies alles will man so im Jahr 2020 testen, wie die Übersicht zeigt. Unberührt davon bleibt übrigens die 7-Tage-Frist bei Sicherheitslücken, von denen bekannt ist, dass sie bereits ausgenutzt werden. Google teilt mit, dass diese Richtlinien für alle gleich sind, auch für Produkte, die Google betreffen – Chrome oder Android beispielsweise. Falls das ein Thema für euch ist, schaut selber bei Google rum.
2019
|
2020 Trial
|
|
|
|
|
|
|
|
|
|
|
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.