ポリシーと開示：2025年版

Google Project Zeroは、脆弱性開示ポリシーを「90+30」モデルに更新し、パッチの開発と採用を速めることを目指しています。 しかし、パッチのリリースとユーザーのインストールの間に生じる「パッチ・ギャップ」がなお残っています。 Project Zeroは、さらに前の段階にある「アップストリーム・パッチ・ギャップ」を特定しました。これは、上流ベンダーが修正を済ませているが、下流の依存関係にあるベンダーがそれらを統合していない場合に生じるものです。 このアップストリーム・ギャップは、脆弱性のライフサイクルを大幅に延長しています。 これに対処するために、新しい試験ポリシー「レポーティング・トランスペアレンシー」が発表されました。 この試験では、脆弱性を報告した後1週間以内に、ベンダー、製品、報告日、開示期限を含む情報を公開します。 コアの90+30ポリシーは残り、Google Big Sleepもこのポリシーを試験しています。 この試験の目的は、トランスペアレンシーを高めることで、アップストリーム・パッチ・ギャップを縮小し、下流の依存関係にあるベンダーとのコミュニケーションを改善することです。 この試験では、報告からユーザーデバイスのインストールまでの時間を追跡し、修正が適用されていない場合をハイライトします。 期限までは技術的な詳細は公開されません。これは、攻撃者に対する青写真ではなく、警告です。 一部のベンダーは、不都合な注目を浴びることになるかもしれませんが、少数のリスクに比べれば利益が大きいと考えられます。 最終的な目標は、ユーザーデバイス上で脆弱性が修復された安全なエコシステムです。 これは試験であり、Project Zeroはその効果を監視し、ポリシーを適切に調整します。