Project Zero plant Disclosure-Änderungen für 2020

Project Zero plant Disclosure-Änderungen für 2020

Von

2020 wollen Googles Security-Bug-Forscher von Project Zero die Disclusore-Richtlinien ändern. Das soll betroffenen Unternehmen das Patchen erleichtern.

Project Zero schreibt sich auf die Fahnen, Zero-Day-Sicherheitslücken früher zu finden als potenziell böswillige Angreifer und sie den betroffenen Firmen zu melden. Zugleich will das Projekt das Bewusstsein für die Sicherheit bei Firmen und im Ökosystem stärken. Die wird häufig noch als Stiefkind betrachtet: IT-Security zu betreiben und Sicherheitslücken zu beheben, kostet Geld. Oberflächlich betrachtet bringt es aber kein Geld, daher verteilen Manager das Budget lieber auf andere Posten.

Diese Sicht zu ändern, gehört zu den Dingen, die Project Zero antreibt. In einem Blogpost weisen die Macher dann auch auf die bisherigen Erfolge hin: So reparieren inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90 Tage. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches früher online, veröffentlicht Project auch seine Erkenntnisse früher.

Hier gibt es zum Beispiel eine Änderung: Veröffentlichte Googles Projekt die Daten bislang nach 90 Tagen oder nach dem Schließen der Bugs, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt wohl in den ebenfalls geänderten Policy Goals: Hier kommen die Punkte “Sorgfältige Patch-Entwicklung” und “Verbesserte Patch-Übernahme” ins Spiel.

Zu schnell, zu unauffällig

Tatsächlich patchen die Unternehmen dank Googles Druck nun schneller, oft aber auch schlampig. Veröffentlicht Google dann Details zur Lücke, fallen den Unternehmen die schnell gestrickten Patches dennoch auf die Füße und funktionieren die Angriffe mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Policy offenbar etwas Druck rausnehmen. Zugleich reiche es eben oft nicht, einen Bug zu fixen. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld nach sich zieht. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit.

Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung: Einerseits hofft es, dass die Anbieter ihre Lücken schneller stopfen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits hofft es darauf, dass die Anwender sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch Project Zero nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann erneut in Klausur gehen.

Verwandte Artikel

Linux-Kommandozeilentools kommen für Windows

Logo Windows 11 (Quelle: Microsoft)

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben