Google past disclosure-beleid aan
Negentig dagen
Google hanteert een behoorlijk strikt beleid voor het bekend maken van lekken in de code van websites en programma’s. Binnen negentig dagen moet een lek zijn gedicht, anders maakt Google het lek bekend. Dat leidt soms tot problemen, zoals Google dat een lek onthult dat Microsoft nog geen twee dagen later dicht in de welbekende Patch Tuesday. Om dit soort problemen te voorkomen wordt het beleid nu aangepast.
Twee weken
Bedrijven die aangeven dat ze het lek niet binnen de negentig dagen kunnen dichten, maar wel snel een patch klaar hebben, krijgen van het Project Zero-team van Google nog twee weken extra de tijd om de patch uit te brengen. Ook zal Google geen kwetsbaarheden meer onthullen in weekenden en op officiële vrije dagen. Overigens heeft Google’s Project Zero hiermee nog altijd een strikter beleid dan bijvoorbeeld het Zero Day Initiative, dat bedrijven 120 dagen de tijd geeft om kwetsbaarheden te verhelpen.
Patch Tuesday
Toch zullen veel bedrijven de aanpassing in het beleid van Google verwelkomen. Eerder werd eenzijdig door het team van Project Zero besloten om een lek bekend te maken, wat ze op kritiek van heel wat bedrijven kwam te staan. Onder andere Microsoft haalde fel uit naar de beveiligers van Google. ‘[Google’s] beslissing voelt minder als een principe en meer als een “hebbes”, met onze klanten als slachtoffer’, liet Chris Betz, senior director van het Microsoft Security Response Center (MSRC) weten nadat Google een gevaarlijk lek onthulde dat enkele dagen later zou worden gepatcht.