Google nechá výrobcům jen sedm dní na opravu chyb

Google se minulý týden rozhodl vystupňovat tlak na vývojáře softwaru, kteří reagují příliš pomalu na chyby ve svých výrobcích. Pokud je taková chyba objevena pracovníkem Googlu, výrobce má sedm dní, aby veřejně zareagoval a uvolnil opravu nebo alespoň bezpečnostní doporučení. Pokud tak neučiní, bude o dané chybě Google veřejnost informovat sám.

Rozhodnutí oznámil v blogu Chris Evans a Drew Hintz, bezpečnostní experti Googlu: „Zrovna nedávno jsme objevili aktivní útok na do té dobu neznámou a neopravenou slabinu v softwaru patřící jiné společnosti. Není to nic neobvyklého, bezpečnostní výzkumníci Googlu příležitostně narážejí na reálná zneužití veřejnosti neznámé chyby (zero-day). Takové případy vždy okamžitě hlásíme výrobci programu a těsně s ním spolupracuje na řešení.“

Oznamování zranitelných míst je již delší dobu horké téma a Google v minulých letech vyvíjel nátlak na výrobce, aby rychleji varovali své uživatelé a opravovali chyby. Samozřejmě, nouzové opravy mohou způsobit celou řadu dalších problémů a například Microsoft vždy trval na tom, že na opravy by neměl platit specifický termín, který by snižoval jejich kvalitu.

Nyní se ale Google rozhodl celý proces výrazně zrychlit. Vždy doporučoval, aby výrobci kritická zranitelná místa opravili do 60 dnů a pokud oprava není možná, měli by veřejnost informovat o existujícím problému a potenciálních alternativních řešeních. Ale vzhledem k dění na internetu dnes Google věří, že u kritických chyb, které jsou již aktivně zneužívány, je lhůta 7 dní přiměřenější, protože v takovém případě každý den navíc vede k lavinovému šíření nakažených počítačů. Připouští sice, že týdenní reakční doba je velmi krátká a nemusí být zvládnutelná pro některé výrobce, ale sám se chce při opravách vlastních chyb chovat podle této politiky.

„Pokud uběhne sedm dní a na internetu nebude publikována aktualizace nebo přiznání chyby s doporučením, jak se mají uživatelé chovat, naši pracovníci budou moci uvolnit všechny objevené detaily, aby se uživatelé mohli bránit sami. Tím, že se takto přísnými standardy budeme řídit i sami, přispějeme k lepšímu stavu webové bezpečnosti.“

Letošní rozhodnutí Googlu není neočekávané, již v roce 2010 jeho bezpečností tým zmiňoval nezodpovědnost výrobců, kteří často oznámené chyby ignorují i roky. Od té doby se toho příliš nezměnilo, aktivnější byla spíš strana na druhé straně barikády, existuje aktivní obchod s informacemi o nalezených slabinách programů, ale i s konkrétními nástroji na jejich zneužití. Konkrétní útoky jsou stále častěji cíleny na specifické části publika, jsou závažnější a hůře zachytitelné. Častým cílem jsou například političtí aktivisté a kompromitování jejich počítačů může mít citelný dopad na bezpečnost dané části světa...