Google maakt de naam van kwetsbare software waarin het een beveiligingslek heeft gevonden voortaan één week nadat de betreffende leverancier de bugmelding heeft ontvangen openbaar. Softwareleveranciers krijgen nog steeds negentig dagen de tijd van Google om een patch te ontwikkelen voordat technische details openbaar worden gemaakt. Volgens Google moet het nieuwe proces voor meer transparantie zorgen.

Onderzoekers van Google zoeken actief naar kwetsbaarheden in de producten en programma's van eigen en andere bedrijven. Wanneer er een beveiligingslek wordt gevonden informeert Google de ontwikkelaar en geeft die negentig dagen de tijd om de gevonden kwetsbaarheid te verhelpen. Wanneer de gerapporteerde kwetsbaarheid binnen negentig dagen door de leverancier wordt gepatcht zal Google de technische details dertig dagen na het beschikbaar komen van de beveiligingsupdate openbaar maken.

Wanneer een door Google gewaarschuwde softwareleverancier niet binnen negentig dagen met een patch komt maakt Google de technische details van de kwetsbaarheid op de negentigste dag openbaar. In het geval van actief aangevallen kwetsbaarheden hanteert Google een deadline van zeven dagen. Verschijnt de update binnen zeven dagen dan volgen de technische details ook in dit geval dertig dagen later.

Upstream patch gap

Volgens Google heeft het bovengenoemde 90-dagen beleid ervoor gezorgd dat softwareleveranciers kwetsbaarheden sneller patchen, maar is er nog een grote uitdaging, de 'upstream patch gap'. Die doet zich voor wanneer de upstream leverancier een kwetsbaarheid patcht, maar de beschikbare update nog niet door afhankelijke downstream partijen onder hun gebruikers is uitgerold. Het gaat bijvoorbeeld om een opensourceproject dat een beveiligingslek verhelpt. Verschillende softwareleveranciers maken van de opensourcesoftware gebruik, maar hebben de update nog niet in hun eigen software verwerkt, waardoor gebruikers van deze software kwetsbaar zijn.

"Voor de eindgebruiker is een kwetsbaarheid niet verholpen wanneer leverancier A een patch voor leverancier B beschikbaar maakt. Het is pas verholpen wanneer gebruikers de update downloaden en op hun apparatuur installeren. Om die gehele keten te verkorten moeten we de upstream delay aanpakken", zegt Tim Willis van Google Project Zero. Als onderdeel van deze aanpak maakt Google voortaan een week nadat het een bugmelding heeft ingediend de naam van de leverancier of opensourceproject bekend, alsmede om welke software het precies gaat. Verder laat Google weten wanneer de bugmelding is ingediend en wanneer de deadline van 90 dagen verloopt. Technische details worden bij deze eerste melding na zeven dagen niet gedeeld. Het techbedrijf denkt dat alleen het noemen van de naam aanvallers niet zal helpen.

Google erkent wel dat het nieuwe proces voor sommige leveranciers, die niet met een 'downstream ecosysteem' te maken hebben, en updates direct onder hun gebruikers uitrollen, voor 'ongewenste ruis' kan zorgen. Willis voegt toe dat de meeste bugmeldingen die Google doet niet voor dit soort leveranciers zijn bedoeld. "We denken dat de voordelen van een eerlijk, eenvoudig, consistent en transparant beleid zwaarder wegen dan de risico's van ongemak voor een klein aantal leveranciers."

Vooralsnog is het nieuwe beleid om namen na zeven dagen te noemen een proef. Tot wanneer die loopt laat Google niet weten. Op deze pagina van Google wordt het overzicht bijgehouden. Daarop staan op het moment van schrijven Google Bigwave, Microsoft Windows en Dolby Unified Decoder genoemd.