GoogleのProject Zeroが緩いセキュリティパッチポリシーの企業に厳しくなる

Google Inc.には、Project Zeroと呼ばれるエリートハッカーとプログラマーのチームがあり、これは開発者がそれを知る前に悪用される「ゼロデイ」セキュリティの欠陥にちなんで名付けられています。

Project Zeroは、自社および競合他社のソフトウェアのセキュリティの欠陥を調査し、企業に期限、具体的にはソフトウェアの脆弱性を修正するための90日間の最終通告を与えます。そうしなければ、それらを公にします。

これは、Microsoft Corp.やApple Inc.のような競合他社を「動機づける」ための努力であり、実際のサイバー犯罪者が未修正のコードの欠陥を利用する前に、バグのあるソフトウェアを修正させることを目的としています。もちろん、MicrosoftとAppleはこれにあまり乗り気ではありません。

GoogleのProject Zeroの実践に反対する人々は、穴を塞ぐ前にギャップを明らかにすることでオンラインセキュリティを危険にさらすと言います。もちろん、知っているハッカーは、ソフトウェアの欠陥が知られるとすぐにそれを悪用するために迅速に行動します。

中国の支援を受けた侵入者が、Heartbleedとして知られるWebセキュリティの欠陥を悪用してCommunity Health Systems Inc.を攻撃したのは、ソフトウェアの欠陥が公表されてからわずか1週間後のことです。

さらに、AppleはGoogleに対して、Mac OS Xオペレーティングシステムの欠陥を修正できるまで公にしないように懇願しました。Googleは修正が来ることを知っており、当時Appleの開発者でもあったため、更新されたソースソフトウェアを所有していました。Googleは拒否し、欠陥の詳細を公にしました。Microsoftも、Windows OSの欠陥を修正するための追加の時間を要求しました。Googleは再び拒否し、バグを公表しました。

Googleの支持者は、Project Zeroの90日間の厳しいアプローチが、企業がバグを修正するのに数ヶ月または数年かかることがあるソフトウェア業界に、より良いセキュリティパッチの実践に焦点を当てるよう動機づけるかもしれないと言います。

現在までに、GoogleのProject ZeroはApple製品で39の脆弱性、Microsoft製品で20の脆弱性を特定しています。このチームは、Adobe Systems Inc.のソフトウェアで37の欠陥、フォントをレンダリングするためのFreeTypeソフトウェア開発ライブラリで22の欠陥も見つけています。

GoogleのProject Zeroが「修正しなければ報告する」という役割を果たしていることは、消費者にとって良いことです。なぜなら、これらの企業の製品の多くは、チェックされなければハッキングに対してユーザーを脆弱にし、さらなる問題を引き起こす可能性があるからです。

Project Zeroは、影響を受けた企業がどのように反応するかによって、将来あなたのデータを本当に信頼できる製品が何であるかが決まることを示しました。