Google a présenté jeudi un ensemble d’initiatives visant à améliorer l’écosystème de gestion des vulnérabilités et à établir des mesures de plus grande transparence autour de l’exploitation.
« Alors que la notoriété des vulnérabilités zero-day fait généralement la une des journaux, les risques subsistent même après qu’ils sont connus et corrigés, ce qui est la vraie histoire », a déclaré la société. a dit dans une annonce. « Ces risques couvrent tout, depuis le temps de latence dans l’adoption des OEM, les problèmes liés aux tests de correctifs, les problèmes de mise à jour de l’utilisateur final, etc. »
Les menaces de sécurité proviennent également de correctifs incomplets appliqués par les fournisseurs, une partie des « zero-days » exploités à l’état sauvage se révélant être des variantes de vulnérabilités précédemment corrigées.
Pour atténuer ces risques, il faut s’attaquer à la cause profonde des vulnérabilités et donner la priorité aux pratiques modernes de développement de logiciels sécurisés afin d’éliminer des classes entières de menaces et de bloquer les voies d’attaque potentielles.
En tenant compte de ces facteurs, Google a déclaré qu’il formait un Hacking Policy Council pour « s’assurer que les nouvelles politiques et réglementations soutiennent les meilleures pratiques en matière de gestion et de divulgation des vulnérabilités ».
La société a en outre souligné qu’elle s’engage à divulguer publiquement les incidents lorsqu’elle trouve des preuves d’exploitation active des vulnérabilités dans son portefeuille de produits.
Enfin, le géant de la technologie a déclaré qu’il instituait un fonds de défense juridique pour la recherche en sécurité afin de fournir un financement de démarrage pour la représentation légale des personnes engagées dans des recherches de bonne foi pour trouver et signaler les vulnérabilités d’une manière qui fait progresser la cybersécurité.
La dernière poussée de Google en matière de sécurité répond à la nécessité de regarder au-delà des jours zéro en rendant l’exploitation difficile en premier lieu, en favorisant l’adoption de correctifs pour les vulnérabilités connues en temps opportun, en mettant en place des politiques pour gérer les cycles de vie des produits et en informant les utilisateurs lorsque les produits sont activement exploité.
Il sert également à souligner l’importance d’appliquer les principes de sécurité dès la conception à toutes les phases du cycle de vie du développement logiciel.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
La divulgation intervient alors que Google a lancé un service API gratuit appelé API deps.dev dans le but de sécuriser la chaîne d’approvisionnement logicielle en donnant accès aux métadonnées de sécurité et aux informations de dépendance pour plus de 50 millions de versions de cinq millions de packages open source trouvés sur les référentiels Go, Maven, PyPI, npm et Cargo.
Dans un développement connexe, la division cloud de Google a également annoncé la Disponibilité générale du service Assured Open Source Software (Assured OSS) pour les écosystèmes Java et Python.