Google, buldukları kritik yazılım açıklarını sağlayıcı firmalara düzenli olarak bildirdiklerini ancak yeterli sürede güvenlik askiyonunun bir türlü sağlanamadığını belirterek yeni bir politika izleyeceklerini duyurdu. Buna göre Google, bir yazılımcıya güvenlik açığını bildirdikten 7 gün sonra, herhangi bir geri dönüş sağlanmadıysa söz konusu açığı kamuoyuyla da paylaşıyor olacak. Arama devi, bu sayede yazılım geliştirme firmalarının güvenlik açıkları konusunda daha hızlı aksiyon almasının sağlanabileceği görüşünde.
Google’ın online güvenlik blogunda yer alan bir açıklamaya göre, firma son dönemde çok daha fazla sıfırıncı gün açığı keşfetmeye başlamış. Bu açıkların izole açıklar olmadığı ve siber saldırganlar tarafından kullanılmakta olduğu duyuruluyor. Arama devi, normalde bir açık bulduklarında ilgili yazılım sağlayıcısını uyardıklarını ve 60 gün içinde ya bir yama yayınlanmasını ya da kamuoyu duyurusu beklediklerini söylüyor. Ancak yazılım firmalarının ayak sürümeleri, anlaşılan Google’ın sabrını taşırmış ve çok daha acil bir aksiyon planı gerektiğini fark etmesine yol açmış. Google’ın yeni politikası, 7 gün içerisinde bir aksiyon alamadıkları takdirde buldukları açıkları kamuoyuna açıklamak yönünde.
Google, 7 günlük sürenin son derece kısa olduğunun farkında olduklarını ama yazılım firmalarının harekete geçmelerini sağlamak üzere böyle bir politikaya geçmek zorunda kaldıklarını duyurmakta. Google, kendi sistemlerinde açık olmasa da 3. şahıs yazılımlar nedeniyle kendi müşterilerinin güvenliklerinin de risk altına girdiğini ve bunun kabul edilemez olduğunu açıklıyor. Firma, kendi açıkları için de aynı politikanın geçerli olacağını söyleyerek adaletli davranacakları sözünü vermekte.
Google’ın yaptığı açıklamalar, sıfırıncı gün açıklarından mağdur olan kullanıcı sayısını azaltmak açısından son derece önemli. Ancak firma, “kritik açık” tanımlamasını nasıl yapacağını açıklamamakta ve bu durum, yazılım firmaları açısından ciddi bir güvensizlik oluşmasına sebep olabilir.
Kaynak : 