Richtlinien und Offenlegung: Ausgabe 2025

"Google Project Zero hat seine Richtlinie für die Schwachstellenmeldung aktualisiert und ein "90+30"-Modell eingeführt, um die Entwicklung und Übernahme von Patches zu beschleunigen. Eine bedeutende Herausforderung bleibt jedoch bestehen: die "Patch-Lücke", die Verzögerung zwischen der Veröffentlichung eines Fixes und seiner Installation durch den Benutzer. Project Zero hat eine frühere Verzögerung identifiziert, die "upstream-Patch-Lücke", bei der Upstream-Anbieter bereits Fixes haben, aber downstream-Abhängige sie noch nicht integriert haben. Diese upstream-Lücke verlängert die Lebenszyklen von Schwachstellen erheblich. Um diesem Problem zu begegnen, wird eine neue Testrichtlinie, "Berichtstransparenz", angekündigt. Diese Testrichtlinie sieht vor, dass innerhalb einer Woche nach Meldung einer Schwachstelle öffentlich bekannt gegeben wird, einschließlich des Anbieters, des Produkts, des Meldedatums und des Fristen für die Offenlegung. Die Kernpolitik von 90+30 bleibt bestehen, und auch Google Big Sleep testet diese Richtlinie. Ziel ist es, die upstream-Patch-Lücke durch erhöhte Transparenz zu verringern, downstream-Abhängige zu informieren und bessere Kommunikation zu fördern. Der Test zielt darauf ab, die Zeit von der Meldung bis zur Installation auf dem Benutzergerät zu verfolgen und hervorzuheben, wenn Fixes nicht angewendet werden. Bis zum Fristablauf werden keine technischen Details veröffentlicht; dies ist eine Warnung, kein Leitfaden für Angreifer. Einige Anbieter mögen unerwünschte Aufmerksamkeit erfahren, aber die Vorteile überwiegen die Risiken für eine Minderheit. Das ultimative Ziel ist ein sichereres Ökosystem, in dem Schwachstellen auf Benutzergeräten behoben werden. Dies ist ein Test, und Project Zero wird die Auswirkungen überwachen und die Richtlinien entsprechend anpassen."