Google describió el jueves un conjunto de iniciativas destinadas a mejorar el ecosistema de gestión de vulnerabilidades y establecer mayores medidas de transparencia en torno a la explotación.
«Si bien la notoriedad de las vulnerabilidades de día cero generalmente aparece en los titulares, los riesgos permanecen incluso después de que se conocen y solucionan, que es la historia real», dijo la compañía. dicho en un anuncio. «Esos riesgos abarcan todo, desde el tiempo de retraso en la adopción de OEM, los puntos débiles de las pruebas de parches, los problemas de actualización del usuario final y más».
Las amenazas de seguridad también provienen de parches incompletos aplicados por los proveedores, con una parte de los días cero explotados en la naturaleza que resultan ser variantes de vulnerabilidades parcheadas previamente.
Mitigar tales riesgos requiere abordar la causa raíz de las vulnerabilidades y priorizar las prácticas modernas de desarrollo de software seguro para eliminar clases enteras de amenazas y bloquear posibles vías de ataque.
Teniendo en cuenta estos factores, Google dijo que está formando un Consejo de Políticas de Hackeo para «garantizar que las nuevas políticas y regulaciones respalden las mejores prácticas para la gestión y divulgación de vulnerabilidades».
La compañía enfatizó además que se compromete a divulgar públicamente los incidentes cuando encuentre evidencia de explotación activa de vulnerabilidades en su cartera de productos.
Por último, el gigante tecnológico dijo que está instituyendo un Fondo de Defensa Legal de Investigación de Seguridad para proporcionar fondos iniciales para la representación legal de las personas que participan en investigaciones de buena fe para encontrar e informar vulnerabilidades de una manera que avance la ciberseguridad.
El último impulso de seguridad de Google habla de la necesidad de mirar más allá de los días cero al dificultar la explotación en primer lugar, impulsar la adopción de parches para vulnerabilidades conocidas de manera oportuna, establecer políticas para abordar los ciclos de vida del producto y hacer que los usuarios sean conscientes cuando los productos son explotado activamente.
También sirve para resaltar la importancia de aplicar principios de seguridad desde el diseño durante todas las fases del ciclo de vida del desarrollo de software.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
La revelación se produce cuando Google lanzó un servicio gratuito de API llamado API deps.dev en un intento por proteger la cadena de suministro de software proporcionando acceso a metadatos de seguridad e información de dependencia para más de 50 millones de versiones de cinco millones de paquetes de código abierto que se encuentran en los repositorios Go, Maven, PyPI, npm y Cargo.
En un desarrollo relacionado, la división de nube de Google también ha anunciado la Disponibilidad general del servicio Assured Open Source Software (Assured OSS) para ecosistemas Java y Python.