Perşembe günü Google, güvenlik açığı yönetimi ekosistemini iyileştirmeyi ve istismar konusunda daha fazla şeffaflık önlemleri oluşturmayı amaçlayan bir dizi girişimi özetledi.
Şirket, “Sıfır gün güvenlik açıklarının kötü şöhreti genellikle manşetlerde yer alsa da, gerçek hikaye olan bilinip düzeltildikten sonra bile riskler devam ediyor” dedi. söz konusu bir duyuruda. “Bu riskler, OEM’in benimsenmesindeki gecikme süresinden, yama testi sorunlu noktalarına, son kullanıcı güncelleme sorunlarına ve daha fazlasına kadar her şeyi kapsar.”
Güvenlik tehditleri ayrıca satıcılar tarafından uygulanan tamamlanmamış yamalardan da kaynaklanır ve sıfır-günlerin büyük bir kısmının daha önce yamalanmış güvenlik açıklarının varyantları olduğu ortaya çıkar.
Bu tür riskleri azaltmak, güvenlik açıklarının temel nedenini ele almayı ve tüm tehdit sınıflarını ortadan kaldırmak ve olası saldırı yollarını engellemek için modern güvenli yazılım geliştirme uygulamalarına öncelik vermeyi gerektirir.
Bu faktörleri göz önünde bulunduran Google, “yeni politikaların ve düzenlemelerin güvenlik açığı yönetimi ve ifşası için en iyi uygulamaları desteklemesini sağlamak” için bir Hacking Politika Konseyi oluşturduğunu söyledi.
Şirket ayrıca, ürün portföyündeki güvenlik açıklarından aktif olarak yararlanıldığına dair kanıt bulduğunda olayları kamuya açıklama taahhüdünde bulunduğunu vurguladı.
Son olarak, teknoloji devi, güvenlik açıklarını siber güvenliği ilerletecek şekilde bulmak ve bildirmek için iyi niyetli araştırma yapan kişilere yasal temsil için tohum fon sağlamak üzere bir Güvenlik Araştırması Yasal Savunma Fonu kurduğunu söyledi.
Google’ın en son güvenlik desteği, kötüye kullanımı daha en baştan zorlaştırarak, bilinen güvenlik açıkları için yamaların benimsenmesini zamanında sağlayarak, ürün yaşam döngülerini ele alacak politikalar oluşturarak ve kullanıcıların ürünler ne zaman arızalanacağını fark etmelerini sağlayarak sıfırıncı günün ötesine bakma ihtiyacına değiniyor. aktif olarak sömürülür.
Ayrıca, yazılım geliştirme yaşam döngüsünün tüm aşamalarında tasarım gereği güvenlik ilkelerinin uygulanmasının önemini vurgulamaya hizmet eder.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Açıklama, Google’ın bir ücretsiz API hizmeti isminde deps.dev API’si Go, Maven, PyPI, npm ve Cargo depolarında bulunan beş milyon açık kaynak paketin 50 milyondan fazla sürümü için güvenlik meta verilerine ve bağımlılık bilgilerine erişim sağlayarak yazılım tedarik zincirini güvence altına almak amacıyla.
İlgili bir gelişmede, Google’ın bulut bölümü de duyurdu genel kullanılabilirlik Java ve Python ekosistemleri için Assured Open Source Software (Assured OSS) hizmetinin.