Google đã công bố một loạt các sáng kiến nhằm cải thiện hệ sinh thái quản lý lỗ hổng và thiết lập các biện pháp minh bạch hơn.
"Trong khi sự nổi tiếng của các lỗ hổng zero-day thường được đưa lên hàng đầu trang nhất, những rủi ro vẫn tồn tại ngay cả sau khi chúng được biết đến và khắc phục, đó mới là câu chuyện thực sự," công ty cho biết trong một thông báo. "Những rủi ro đó bao gồm thời gian chậm trong việc sử dụng thiết bị (OEM), kiểm tra bản vá, vấn đề cập nhật người dùng cuối và nhiều vấn đề khác."
Những mối đe dọa về an ninh cũng phát sinh từ các bản vá không đầy đủ được áp dụng bởi các nhà cung cấp, một phần của các lỗ hổng zero-day bị khai thác trong thực tế vốn là các biến thể của các lỗ hổng đã được vá trước đó.
Giảm thiểu những rủi ro này đòi hỏi phải giải quyết nguyên nhân của các lỗ hổng và ưu tiên thực hiện các phương pháp phát triển phần mềm bảo mật hiện đại để loại bỏ toàn bộ các lớp mối đe dọa và chặn các lối tấn công tiềm năng.
Xét đến các yếu tố này, Google cho biết họ đang thành lập hội đồng chính sách Hack cùng với Bugcrowd, HackerOne, Intel, Intigriti và Luta Security để "đảm bảo các chính sách và quy định mới hỗ trợ thực tiễn tốt nhất cho quản lý và tiết lộ lỗ hổng."
Công ty cũng nhấn mạnh rằng họ cam kết công khai tiết lộ các sự cố khi tìm thấy bằng chứng về khai thác lỗ hổng trên toàn bộ danh mục sản phẩm của mình.
Cuối cùng, công ty công nghệ khổng lồ này cho biết họ đang thành lập quỹ phòng vệ nghiên cứu an ninh pháp lý để cung cấp vốn khởi động cho việc đại diện pháp lý cho những cá nhân tham gia nghiên cứu tốt trên cơ sở niềm tin để tìm và báo cáo lỗ hổng một cách có ích cho việc nâng cao an ninh mạng.
Mục tiêu của họ là thoát khỏi "vòng lặp định mức" của việc vá lỗ hổng và hạn chế mối đe dọa bằng cách "tập trung vào các nguyên tắc cơ bản của phát triển phần mềm an toàn và thiết kế cho tính bảo mật ".
Nỗ lực bảo mật mới nhất của Google đề cập đến nhu cầu nhìn xa hơn zero-day bằng cách làm cho việc khai thác trở nên khó khăn từ đầu, đẩy mạnh việc triển khai vá cho những lỗ hổng đã biết trong thời gian hợp lý, thiết lập chính sách để giải quyết vòng đời sản phẩm và thông báo cho người dùng khi sản phẩm đang bị tấn công.
Điều này cũng nhấn mạnh sự quan trọng của việc áp dụng các nguyên tắc thiết kế an toàn trong tất cả các giai đoạn của vòng đời phát triển phần mềm.
Thông báo này đồng thời đến khi Google ra mắt dịch vụ API miễn phí được gọi là deps.dev API nhằm bảo vệ chuỗi cung ứng phần mềm bằng cách cung cấp quyền truy cập vào siêu dữ liệu bảo mật và thông tin phụ thuộc cho hơn 50 triệu phiên bản của 5 triệu gói mã nguồn mở được tìm thấy trên các kho lưu trữ Go, Maven, PyPI, npm và Cargo.
Đồng thời, trong một bước phát triển liên quan, bộ phận đám mây của Google cũng đã thông báo về khả dụng chung của dịch vụ Assured Open Source Software (Assured OSS) cho các hệ sinh thái Java và Python.
