O Google apresentou na quinta-feira uma série de iniciativas com o objetivo de melhorar o ecossistema de gerenciamento de vulnerabilidades e estabelecer medidas de transparência em torno da exploração.
"Embora a notoriedade das vulnerabilidades zero-day geralmente faça manchetes, os riscos permanecem mesmo depois que eles são conhecidos e corrigidos, o que é a verdadeira história", disse a empresa em um anúncio.
"Esses riscos abrangem tudo, desde atrasos na adoção por OEMs, pontos problemáticos de teste de patch, problemas de atualização do usuário final e muito mais."
As ameaças à segurança também derivam de patches incompletos aplicados pelos fornecedores, sendo que uma parte dos zero-days explorados na natureza acabam sendo variantes de vulnerabilidades previamente corrigidas.
Mitigar tais riscos requer abordar a causa raiz das vulnerabilidades e priorizar práticas modernas de desenvolvimento de software seguro para eliminar classes inteiras de ameaças e bloquear possíveis caminhos de ataque.
Levando esses fatores em consideração, o Google disse que está formando um Conselho de Política de Hacking juntamente com a Bugcrowd, HackerOne, Intel, Intigriti e Luta Security para "garantir que novas políticas e regulamentações suportem as melhores práticas para gerenciamento e divulgação de vulnerabilidades".
A empresa também enfatizou que está comprometida em divulgar publicamente incidentes quando encontrar evidências de exploração ativa de vulnerabilidades em seu portfólio de produtos.
Por fim, o gigante da tecnologia disse que está instituindo um Fundo de Defesa Legal de Pesquisa de Segurança para fornecer financiamento inicial para representação legal para indivíduos envolvidos em pesquisas de boa-fé para encontrar e relatar vulnerabilidades de maneira que avance na segurança cibernética.
O objetivo, observou a empresa, é escapar do "loop de condenação" de correção de vulnerabilidades e mitigação de ameaças, concentrando-se nos fundamentos do desenvolvimento de software seguro, boa higiene de patch e design para segurança e facilidade de patch desde o início.
A mais recente iniciativa de segurança do Google fala na necessidade de olhar além dos zero-days tornando a exploração difícil desde o início, impulsionando a adoção de patches para vulnerabilidades conhecidas de maneira oportuna, estabelecendo políticas para abordar os ciclos de vida do produto e informando aos usuários quando os produtos são ativamente explorados.
Também serve para destacar a importância da aplicação de princípios seguros por design durante todas as fases do ciclo de vida do software.
A divulgação ocorre enquanto o Google lançou um serviço gratuito de API chamado deps dev API na tentativa de garantir a cadeia de suprimentos de software fornecendo acesso a metadados de segurança e informações de dependência para mais de 50 milhões de versões de cinco milhões de pacotes de código aberto encontrados nos repositórios Go, Maven, PyPI, npm e Cargo.
Em um desenvolvimento relacionado, a divisão de nuvem do Google também anunciou a disponibilidade geral do serviço de software livre assegurado (Assured OSS) para ecossistemas Java e Python.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...