パスワードを忘れた? アカウント作成
14086256 story
Google

GoogleのProject Zero、バグ開示の新ポリシーをテスト 15

ストーリー by hylom
緩和 部門より

headless曰く、

GoogleのProject Zeroが1月1日以降ベンダーに報告したバグについて、開示ポリシーの変更をテストしているそうだ(Project ZeroのブログThe VergeSoftpediaAndroid Police)。

これまでProject Zeroではパッチが迅速に開発されることを目標としており、ベンダーへの報告から90日後またはパッチ提供開始のいずれか短い期間経過後にバグを開示していた。2015年には報告から90日以内にパッチは完成したものの、提供開始が間に合わない場合などに限って14日間の猶予期間を追加できるようになっている。ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

1月1日からテストしている新ポリシーではパッチの迅速な開発のほか、徹底的にバグが修正されること、パッチがユーザーに浸透することを目標に加えている。そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

なお、既に攻撃が確認されているバグについてはこれまでと同様、報告から7日後に開示される。新ポリシーのテストは12か月間にわたって行われ、その結果を踏まえて今後のポリシーを検討するとのことだ。

  • by Anonymous Coward on 2020年01月11日 6時35分 (#3743802)

    meltdownやspectreみたいな大きな脆弱性が見つかれば、
    3か月じゃ対策が間に合わないのはあきらかでしょう

    その場合は特例発動するのかな?

    またandroidの脆弱性の場合、googleが提供してる素のandroidはともかく、
    いろんな会社が提供してるandroid機器は、アップデートが間に合わないのでは

    ここに返信
    • by Anonymous Coward

      いろんな会社が提供してるandroid機器は、アップデートが間に合わないのでは

      穴3ヶ月以上空きっぱにしなきゃならんもんを有料で売ってるほうが悪い
      顧客側が不買運動していいと思うよ

  • by Anonymous Coward on 2020年01月11日 7時24分 (#3743806)

    わざわざパッチと同時に開示する意義がいまだによくわからない
    信念的でなく論理的なメリットって何かあるの?

    ここに返信
    • by Anonymous Coward on 2020年01月11日 9時41分 (#3743832)

      利用者側は「そのパッチは何のために必要なのか」の情報によってパッチ適用の優先度やタイミングを判断するのでどうせパッチ提供といっしょに必要な情報。
      その情報はGoogleではなくパッチ提供者が出すのが筋なのでは、とは思うけど同じ原因で起きる複数のバグとか攻撃パターンだとパッチ提供者の情報からは抜けてたり隠してたりもあるので第三者からも情報が出るのは無意味じゃないと思うな。

      • by Anonymous Coward

        それってほぼ「提供者が開示する際のメリット」の説明であって
        第三者がポリシーを押し付けるメリットにはなってないような…

        • by Anonymous Coward

          「提供者が開示する際のメリット」があるのは十分大きな理由になると思うけど

      • by Anonymous Coward

        利用者側は「そのパッチは何のために必要なのか」の情報によってパッチ適用の優先度やタイミングを判断するのでどうせパッチ提供といっしょに必要な情報。

        つまり一般利用者には不要ってことだね!

        # 逸般Android利用者ですので自前で焼きますね

    • by Anonymous Coward

      建前は記事に書いてある通り
      本音は競合他社に圧力を加え続けること(1ダメージの攻撃でも9999回繰り返せば9999ダメージの攻撃と同じ)
      だから当然、自分たちが当事者の場合はダンマリとかダブスタ全開

    • by Anonymous Coward

      自分たちの情報発信が注目されるようにはなるよね。毎日みないとヤバイことが書いてあるかもしれないわけだから。
      だいたい、ポリシーのテストってなんだよ。別に都合悪けりゃ何度変えてもいいものをわざわざテストと称するなんて中二病。

  • by Anonymous Coward on 2020年01月11日 9時05分 (#3743825)

    > ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

    に対して

    > そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

    問題の解決としては悪化しているように思えるのだけど
    自分が何か読み間違えてるのでしょうか

    ここに返信
    • by Anonymous Coward

      Googleの提供しているサービスにすみやかに乗り換えていただくことで、ユーザーの皆様に安全と安心を提供します

      • by Anonymous Coward

        Google も Google+ に脆弱性があったことを半年黙ってたことがあったような.

        #発表が無ければ知りようがないし,安心ではあるのか.

    • by Anonymous Coward

      問題の解決としては悪化しているように思えるのだけど
      自分が何か読み間違えてるのでしょうか

      はい国内キャリアモデルに関してなら
      情報公開の如何を問わず今まで通りです

      # BLU不可の時点で自己救済すら不能だしー

  • by Anonymous Coward on 2020年01月11日 12時48分 (#3743872)

    自体はわかるが、個別それぞれの適用までの間がやばいと思うんだが...
    なので開示するにしてもボカす必要ありそうに思うことはある

    # でも詳細がわからんと危険度が判別できない、という...

    ここに返信
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...