Google Project Zero, tim ahli keamanan yang dipekerjakan oleh raksasa pencarian dengan tugas memburu kerentanan perangkat lunak zero day, telah memperbarui pedoman pengungkapan kerentanannya.
Kebijakan yang diperbarui menambahkan jendela 30 hari ekstra untuk beberapa pengungkapan bug keamanan. Sebelum ini, peneliti Google akan mempublikasikan detail kerentanan pada pelacak bug online mereka di akhir jendela 90 hari, atau setelah bug ditambal.
Lebih Lama Menambal
Bulan tambahan (kurang-lebih) memberi vendor dan pengguna sedikit lebih lama untuk mengembangkan, berbagi, dan instal tambalan yang diperlukan untuk perangkat lunak mereka sebelum rincian kerentanan dibagikan secara online. Ini adalah kabar baik karena saat detail kerentanan dibagikan secara online, mereka berpotensi dipersenjatai oleh penyerang.
Meskipun tambalan paling sering dirilis pada titik di mana detail kerentanan dipublikasikan, itu masih bergantung pada pengguna yang telah menginstal tambalan itu sendiri. Dalam beberapa kasus, ini bisa menjadi tugas yang menghabiskan banyak waktu. Karenanya, tambahan 30 hari Google adalah kabar baik.
"Sasaran pembaruan kebijakan 2021 kami adalah menjadikan jadwal penerapan tambalan sebagai bagian eksplisit dari kebijakan pengungkapan kerentanan kami," kata Tim Willis dari Project Zero Vendors dalam sebuah posting blog mendeskripsikan perubahan. "Vendor sekarang memiliki waktu 90 hari untuk pengembangan patch, dan tambahan 30 hari untuk adopsi patch."
Project Zero juga memperpanjang masa tenggang 30 hari ekstra menjadi kerentanan zero day yang secara aktif dieksploitasi terhadap pengguna di alam liar. Meskipun batas waktu pengungkapan hanya tujuh hari untuk perbaikan, detail teknis hanya akan dipublikasikan 30 hari setelah perbaikan selama masalah diperbaiki oleh pengembang. Jika tidak, detail teknis akan segera dipublikasikan.
Diperluas ke Kerentanan Hari Nol, Juga
Aturan baru ini akan berlaku untuk tahun 2021, meskipun keadaan bisa berubah lagi di masa depan. Seperti catatan entri blog: "Preferensi kami adalah memilih titik awal yang dapat dipenuhi secara konsisten oleh sebagian besar vendor, lalu secara bertahap menurunkan jadwal pengembangan patch dan adopsi patch."
Melakukan pengungkapan jenis ini dengan benar adalah pekerjaan yang sulit, menyeimbangkan kepentingan terbaik pengguna dengan memberi waktu yang cukup kepada pengembang untuk mengembangkan dan merilis tambalan. Seperti yang diketahui dengan jelas oleh tim Project Zero, ini adalah area yang akan terus diperbaiki seiring dengan berkembangnya langkah-langkah keamanan siber dan patching.
Untuk saat ini, Anda akan kesulitan untuk mengatakan bahwa pakar keamanan Google tidak melakukan hal yang benar.
Kredit Gambar: Mitchell Luo /Unsplash CC
Perbarui sistem Windows Anda untuk melindungi dari kerentanan kritis.
Baca Selanjutnya
- Berita Teknologi
- Keamanan cyber
Luke telah menjadi penggemar Apple sejak pertengahan 1990-an. Minat utamanya yang melibatkan teknologi adalah perangkat pintar dan persimpangan antara teknologi dan seni liberal.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk mendapatkan tip teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan kepada Anda.
