{"id":226700,"date":"2020-01-08T08:43:30","date_gmt":"2020-01-08T07:43:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226700"},"modified":"2020-01-11T00:29:04","modified_gmt":"2020-01-10T23:29:04","slug":"google-genderte-offenlegungsrichtlinie-bei-project-zero","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/08\/google-genderte-offenlegungsrichtlinie-bei-project-zero\/","title":{"rendered":"Google: Geänderte Offenlegungsrichtlinie bei Project Zero"},"content":{"rendered":"

[English<\/a>]Das Project Zero bei Google \u00e4ndert seine Richtlinien zur Offenlegung gefundener Sicherheitsl\u00fccken. Diese sollen ab 2020 binnen 90 Tagen ver\u00f6ffentlicht werden.<\/p>\n

<\/p>\n

\"\"Das Project Zero bei Google forscht ja aktiv im Hinblick auf die Aufdeckung von Sicherheitsl\u00fccken in Softwareprodukten. In einer Mitteilung<\/a> schreibt Tim Willis, dass das Team viel Zeit damit verbringe, die Richtlinien zur Offenlegung von Schwachstellen und deren Konsequenzen f\u00fcr Benutzer, Anbieter, andere Sicherheitsforscher und die Software-Sicherheitsnormen der gr\u00f6\u00dferen Industrie zu diskutieren und zu bewerten.<\/p>\n

Aktuell sei man sehr zufrieden damit, wie gut die Offenlegungspolitik in den letzten f\u00fcnf Jahren funktioniert habe. Es gab Verbesserungen bei der Geschwindigkeit, mit der Anbieter ernsthafte Schwachstellen patchen. Aktuell werden 97,7 % der aufgedeckten Schwachstellen innerhalb der 90-Tage-Offenlegungsrichtlinie behoben.<\/p>\n

Interne und externe Diskussionen<\/h2>\n

Dabei handelt es sich um ein komplexes und oft kontroverses Thema, das sowohl innerhalb als auch au\u00dferhalb des Teams h\u00e4ufig diskutiert wird. Das Team erh\u00e4lt oft R\u00fcckmeldungen bez\u00fcglich unserer aktuellen Richtlinien von Anbietern, mit denen Project Zero eng zusammenarbeitet. Manchmal sind es Dinge, die sie bei uns ge\u00e4ndert haben wollen, manchmal ist es die Art und Weise, wie unsere Arbeit ihre Arbeit und die Benutzer positiv beeinflusst hat. Gespr\u00e4che wie diese helfen dabei die Richtlinien zur Offenlegung zu entwickeln. So hat das Team beispielsweise nach Gespr\u00e4chen mit verschiedenen Anbietern im Jahr 2015 eine 14-t\u00e4gige Gnadenfrist zur Offenlegung eingef\u00fchrt.<\/p>\n

\u00c4nderungen ab 2020<\/h2>\n

Vor kurzem hat Project Zero die internen Richtlinien und die Ziele zur Offenlegungspolitik \u00fcberpr\u00fcft. Als Ergebnis dieser \u00dcberpr\u00fcfung wurde beschlossen, im Jahr 2020 einige \u00c4nderungen an der Richtlinie zur Offenlegung von Schwachstellen vorzunehmen. F\u00fcr Schwachstellen, die ab dem 1. Januar 2020 gemeldet werden, \u00e4ndert sich die Offenlegungspolitik:<\/p>\n