Google、セキュリティ問題の開示を加速、「上流パッチギャップ」を指摘

Googleは、セキュリティ脆弱性の開示をより迅速に行うことを発表しました。この変更は、GoogleのProject Zeroが実施する新しい開示ポリシーに基づいており、セキュリティ上の問題が報告されてからの修正を迅速化することを目的としています。Project Zeroは、ベンダーに対して90日以内にバグを修正するように求め、修正が完了した後、さらに30日以内にユーザーがパッチを適用できるようにする「90+30ポリシー」を採用しています。しかし、現在では「上流パッチギャップ」という問題が生じており、修正パッチが上流で提供されてから、下流のベンダーによって修正が適用されるまでの時間が長く、脆弱性のライフサイクルを不必要に延ばしていると指摘されています。この問題を解消するため、Googleは報告内容をさらに詳細に公開し、開発者が脆弱性に関する情報をより早く取得できるようにする方針を示しています。