Google geliştiricilere güvenlik açıklarını düzeltmeleri için daha fazla süre tanıyacak

Google Personal Search

Google’ın geçen yıl duyurusunu yapmış olduğu Project Zero girişimi internette güvenliği artırmayı amaçlıyordu. Proje kapsamında Google mühendisleri yazılım ve servislerde “sıfır gün” açıklarını tespit ediyor. Bunlar genellikle geliştiricilerin yamalamak veya düzeltmek için zaman bulamadıkları, daha önce bilinmeyen güvenlik açıkları oluyor.

Mühendisler bu tarz güvenlik açıkları bulduğunda Google geliştiricilere 90 günlük bir süre tanıyor ve bulunan açıkları düzeltmelerini istiyor. Bu 90 günlük sürenin sonunda hassasiyet veya güvenlik açığının varlığı kamuoyuna açıklanıyor. Başlangıçta arama devi bu zaman aralığının geliştiricilere açıkları kapatmak için yeterli olacağını düşünüyordu. Ancak gelen eleştiriler nedeniyle 90 günlük periyodu genişletme kararı aldı.

Eğer geliştiriciler Google ile temasa geçip bir düzeltmenin hazırlandığını bildirirse, ancak söz konusu düzeltme 90 günlük pencere içinde hazır olmayacaksa, Google bu geliştiricilere güvenlik açığını kamuoyuyla paylaşmamak için 14 günlük ek bir süre daha tanıyor. Bunun yanında Google haftasonlarına veya ulusal tatil günlerine denk gelen süre bitimlerini de bir sonraki ilk iş gününe kaydırmayı da kabul etti; olağanüstü durumlarda süre aşım tarihlerini ileri veya geri kaydıracağını dile getirdi.

Değişiklik Microsoft’un Google’ı, Windows 8.1 ile ilgili bir güvenlik açığını düzeltmenin yayınlanmasından iki gün önce kamuoyuna açıklaması nedeniyle eleştirmesinden bir ay sonra geldi. Microsoft Google’ın yaklaşımının prensip dışı olduğunu, tüketicilerin bundan zarar görebileceğini söylemişti. Aslında Google Microsoft’un bir değil, iki farklı güvenlik açığını; Microsoft söz konusu açıkları kapatacak yamaları yayınlamadan önce kamuoyuna açıklamıştı. Google 90 günlük periyodunu savunmuş ve süre bitiminin kullanıcı güvenliği için en iyi yaklaşım olduğunu dile getirmişti.

Google’ın Project Zero politikasında yaptığı küçük ayarlamalar geliştiricilere işlerini tamamlamak için ek süre tanımış oluyor. Ancak Google’ın söz konusu sıfır gün açıklarını keşfetmek olduğunda en zorlayıcı güvenlik araştırma gruplarından birine sahip olduğunu söylemek gerekiyor. Şirket 90 günlük politikasının sektördeki diğer oyuncuların yaklaşımlarıyla karşılaştırıldığında orta yolu bulan bir süre tanıma takvimi olduğunu söylüyor. Araştırmacıları sıfır gün açıklarını bulduklarında ödüllendiren bir program olan Zero Day Initiative geliştiricilere düzeltme yayınlamaları için 120 günlük bir süre tanırken, Carnegie Mellon’un CERT programında geliştiricilere güvenlik açıklarıyla ilgili detayları herkesle paylaşmadan önce sadece 45 gün veriliyor.

Kaliteli ve bilgilendirici teknoloji videoları için
Teknoblog YouTube kanalına abone olun

Netflix’ten Kenya’daki Android kullanıcıları için ücretsiz paket

Netflix, Kenya'da yaşayan Android telefon sahiplerine bazı içeriklerine ücret ödemeden erişme imkanı sunuyor. Bu doğrultuda kullanıcılar herhangi bir ücret ödemeden Netflix'in ücretli abonelerinin izleyebildiği...

Gelecek OnePlus amiral gemisini çalıştıracak birleştirilmiş ColorOS/OxygenOS ile ilgili detaylar

Bu yılın başlarında bazı departmanlarını Oppo ile birleştiren OnePlus, bu birleşimin geleceğinin nasıl görüneceğine dair biraz daha fazla ayrıntı verdi. Görünüşe göre, bu ortak...

iOS 15 yayınlandı, hemen şimdi indir

Apple'ın ön gösterimini haziran ayındaki WWDC 2021 etkinliğinde gerçekleştirdiği iOS 15 için final sürüm yayınlandı, indirme işlemi için bekleyenler artık bu güncellemeyi cihazlarında görebilirler....

iPadOS 15 yayınlandı, işte yenilikler ve uyumlu cihazlar

Apple iPad'lere özel işletim sistemi iPadOS'in en son sürümünü yayınladı. Yaz başında ön gösterimi yapılan iPadOS 15 ile birlikte Apple'ın tabletlerine çoklu görev tarafında...