Google lança novas iniciativas de cibersegurança para fortalecer a gestão de vulnerabilidades
14 de Abril de 2023

O Google apresentou na quinta-feira uma série de iniciativas com o objetivo de melhorar o ecossistema de gerenciamento de vulnerabilidades e estabelecer medidas de transparência em torno da exploração.

"Embora a notoriedade das vulnerabilidades zero-day geralmente faça manchetes, os riscos permanecem mesmo depois que eles são conhecidos e corrigidos, o que é a verdadeira história", disse a empresa em um anúncio.

"Esses riscos abrangem tudo, desde atrasos na adoção por OEMs, pontos problemáticos de teste de patch, problemas de atualização do usuário final e muito mais."

As ameaças à segurança também derivam de patches incompletos aplicados pelos fornecedores, sendo que uma parte dos zero-days explorados na natureza acabam sendo variantes de vulnerabilidades previamente corrigidas.

Mitigar tais riscos requer abordar a causa raiz das vulnerabilidades e priorizar práticas modernas de desenvolvimento de software seguro para eliminar classes inteiras de ameaças e bloquear possíveis caminhos de ataque.

Levando esses fatores em consideração, o Google disse que está formando um Conselho de Política de Hacking juntamente com a Bugcrowd, HackerOne, Intel, Intigriti e Luta Security para "garantir que novas políticas e regulamentações suportem as melhores práticas para gerenciamento e divulgação de vulnerabilidades".

A empresa também enfatizou que está comprometida em divulgar publicamente incidentes quando encontrar evidências de exploração ativa de vulnerabilidades em seu portfólio de produtos.

Por fim, o gigante da tecnologia disse que está instituindo um Fundo de Defesa Legal de Pesquisa de Segurança para fornecer financiamento inicial para representação legal para indivíduos envolvidos em pesquisas de boa-fé para encontrar e relatar vulnerabilidades de maneira que avance na segurança cibernética.

O objetivo, observou a empresa, é escapar do "loop de condenação" de correção de vulnerabilidades e mitigação de ameaças, concentrando-se nos fundamentos do desenvolvimento de software seguro, boa higiene de patch e design para segurança e facilidade de patch desde o início.

A mais recente iniciativa de segurança do Google fala na necessidade de olhar além dos zero-days tornando a exploração difícil desde o início, impulsionando a adoção de patches para vulnerabilidades conhecidas de maneira oportuna, estabelecendo políticas para abordar os ciclos de vida do produto e informando aos usuários quando os produtos são ativamente explorados.

Também serve para destacar a importância da aplicação de princípios seguros por design durante todas as fases do ciclo de vida do software.

A divulgação ocorre enquanto o Google lançou um serviço gratuito de API chamado deps dev API na tentativa de garantir a cadeia de suprimentos de software fornecendo acesso a metadados de segurança e informações de dependência para mais de 50 milhões de versões de cinco milhões de pacotes de código aberto encontrados nos repositórios Go, Maven, PyPI, npm e Cargo.

Em um desenvolvimento relacionado, a divisão de nuvem do Google também anunciou a disponibilidade geral do serviço de software livre assegurado (Assured OSS) para ecossistemas Java e Python.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...