谷歌周四概述了一系列旨在改善漏洞管理生态系统并围绕漏洞利用建立更高透明度措施的举措。
“虽然零日漏洞的臭名昭著通常会成为头条新闻,但即使在已知并修复之后风险仍然存在,这是真实的情况,”该公司在一份声明中表示。“这些风险涵盖了方方面面,从 OEM 采用的滞后时间、补丁测试痛点、最终用户更新问题等等。”
安全威胁也源于供应商应用的不完整补丁,其中大量在野外被利用的零日漏洞被证明是先前修补漏洞的变体。
减轻此类风险需要解决漏洞的根本原因,并优先考虑现代安全软件开发实践,以消除整个威胁类别并阻止潜在的攻击途径。
考虑到这些因素,谷歌表示它正在与 Bugcrowd、HackerOne、英特尔、Intigriti 和 Luta Security 一起组建一个黑客政策委员会,以“确保新的政策和法规支持漏洞管理和披露的最佳实践。”
该公司进一步强调,当它发现有证据表明其产品组合中的漏洞被积极利用时,它会承诺公开披露事件。
最后,这家科技巨头表示,它正在设立一个安全研究法律辩护基金,为从事善意研究的个人的法律代表提供种子资金,以促进网络安全的方式发现和报告漏洞。
该公司指出,其目标是通过“专注于安全软件开发的基础、良好的补丁卫生以及从一开始就针对安全性和易于补丁进行设计”来摆脱漏洞补丁和威胁缓解的“死循环”。
谷歌最新的安全举措表明需要超越零日漏洞,首先让利用变得困难,及时推动对已知漏洞的补丁采用,制定解决产品生命周期问题的政策,并让用户了解产品何时可用积极利用。
它还用于强调在软件开发生命周期的所有阶段应用安全设计原则的重要性。
披露之际,谷歌推出了一项名为deps.dev API的免费 API 服务,旨在通过为在 Go、Maven 上找到的 500 万个开源软件包的超过 5000 万个版本提供安全元数据和依赖信息访问,来保护软件供应链、PyPI、npm 和 Cargo 存储库。
在相关的开发中,谷歌的云部门还宣布了面向 Java 和 Python 生态系统的 Assured Open Source Software (Assured OSS) 服务的普遍可用性。