Google Project Zero telah mengumumkan peralihan ketara dalam cara mereka mengendalikan pendedahan kerentanan dengan dasar Reporting Transparency yang baharu. Perubahan ini bertujuan untuk menangani masalah yang semakin berkembang dalam keselamatan siber: masa yang diperlukan untuk pembetulan keselamatan benar-benar sampai ke peranti pengguna akhir.
Pasukan penyelidik keselamatan ini mengenal pasti apa yang mereka panggil jurang tampung - kelewatan antara masa kerentanan ditemui dan masa pengguna memasang kemas kini yang berkaitan. Yang lebih membimbangkan ialah jurang tampung huluan, di mana vendor huluan mempunyai pembetulan yang tersedia, tetapi kebergantungan hiliran belum lagi mengintegrasikannya ke dalam produk mereka.
Sistem Amaran Awal untuk Kerentanan Keselamatan
Di bawah dasar baharu ini, Project Zero akan mengumumkan secara terbuka dalam masa seminggu selepas melaporkan kerentanan bahawa isu keselamatan telah ditemui. Pengumuman itu akan merangkumi vendor yang terjejas atau projek sumber terbuka, produk khusus, dan tarikh akhir pendedahan 90 hari. Walau bagaimanapun, butiran teknikal dan kod bukti konsep akan kekal peribadi sehingga pendedahan penuh.
Ini mewakili penyimpangan besar daripada amalan pendedahan berkoordinat tradisional, di mana butiran kerentanan kekal benar-benar sulit sehingga tampung tersedia. Respons komuniti bercampur-campur, dengan sesetengah pihak memuji ketelusan manakala yang lain bimbang tentang kemungkinan akibat.
Butiran Dasar Ketelusan Pelaporan Baharu:
- Pengumuman awam dalam tempoh 1 minggu selepas melaporkan kelemahan
- Maklumat yang dikongsi: vendor/projek yang terjejas, nama produk, tarikh laporan, tarikh akhir pendedahan 90 hari
- Butiran teknikal dan kod bukti-konsep kekal sulit sehingga pendedahan penuh
- Mengekalkan dasar 90+30 hari sedia ada (90 hari untuk pembaikan + 30 hari untuk penggunaan tampung)
Mengimbangi Ketelusan dengan Risiko Keselamatan
Dasar ini telah mencetuskan perdebatan tentang sama ada pengumuman awal mungkin membantu penyerang. Project Zero berhujah bahawa faedahnya mengatasi risiko, kerana mereka tidak akan berkongsi butiran teknikal yang boleh membolehkan eksploitasi. Walau bagaimanapun, penyelidik keselamatan telah membangkitkan kebimbangan tentang kepraktisan pendekatan ini, terutamanya untuk projek sumber terbuka.
Seorang ahli komuniti menyerlahkan cabaran utama: untuk projek stabil dengan sedikit komit, mengenal pasti pembetulan keselamatan daripada repositori awam menjadi lebih mudah sebaik sahaja kerentanan diumumkan. Ini boleh mewujudkan keadaan perlumbaan di mana penyerang cuba merekayasa balik kerentanan daripada pembetulan sebelum pengguna dapat mengemas kini sistem mereka.
Kesan terhadap Penyelenggara Sumber Terbuka
Dasar ini telah menimbulkan kebimbangan khusus tentang kesannya terhadap projek sumber terbuka yang diselenggara secara sukarela. Sesetengah penyelenggara telah berundur daripada kerja mereka kerana tekanan daripada penyelidik keselamatan, dan pendekatan baharu ini boleh meningkatkan beban tersebut.
Ia lebih tidak mungkin lagi dengan Google Project Zero , penyelidik keselamatan topi putih terbaik yang wang boleh beli, mengawasi sukarelawan dengan ketat.
Perbincangan komuniti mendedahkan ketegangan antara meningkatkan keselamatan keseluruhan dan menyokong sukarelawan yang menyelenggara infrastruktur kritikal. Ada yang berhujah bahawa peningkatan ketelusan akan membantu projek hiliran bersiap sedia untuk kemas kini, manakala yang lain bimbang ia akan mewujudkan tekanan dan perhatian yang tidak diingini terhadap penyelenggara yang sudah terhimpit.
Kelemahan Awal Di Bawah Dasar Baharu:
- 6 jumlah kelemahan dilaporkan dalam kumpulan awal
- Kesemua 6 adalah perisian proprietari (bukan sumber terbuka)
- 3 daripada 6 adalah produk Google sendiri
- Kebanyakan kelihatan berkaitan dengan fungsi pemunggahan perkakasan
Memandang ke Hadapan
Project Zero telah meletakkan ini sebagai tempoh percubaan dan akan memantau kesannya dengan teliti. Kejayaan dasar ini berkemungkinan bergantung pada sama ada ia benar-benar mengurangkan masa antara penemuan kerentanan dan perlindungan pengguna, tanpa mewujudkan beban yang tidak wajar terhadap komuniti pembangunan perisian.
Inisiatif ini mencerminkan cabaran yang lebih luas dalam keselamatan perisian moden, di mana rantaian bekalan yang kompleks bermakna kerentanan tunggal boleh menjejaskan produk hiliran yang tidak terkira banyaknya. Sama ada pendekatan ketelusan dahulu ini terbukti berkesan masih belum dapat dipastikan, tetapi ia mewakili eksperimen berani dalam amalan pendedahan kerentanan.
Rujukan: Project Zero