A Google acaba de anunciar várias iniciativas destinadas a ajudar os problemas de divulgação de vulnerabilidades e proteger os investigadores de segurança. Estes anúncios da Google são feitos em colaboração com vários grupos da indústria, incluindo a Intel, BugCrowd, HackerOne e Luta Security.
Destaque para:
- Security Research Legal Defense Fund: Este fundo está a ser estabelecido enquanto organização sem fins lucrativos independente para proteger os investigadores de segurança – que agem de boa fé – face a ameaças legais relacionadas com a investigação de segurança e à divulgação de vulnerabilidades.
- Hacking Policy Council: Este grupo irá defender políticas de bom senso relacionadas com a divulgação e a gestão de vulnerabilidades. Está a ser formado como um projeto dentro do Center for Cyber Policy and Law, um 501(c)(6) nos EUA. Os membros do Conselho incluem Intel, Luta Security, HackerOne, BugCrowd e Integriti.
White Paper da Google: A Google vai também publicar um novo documento técnico onde se destacam os problemas no ecossistema de vulnerabilidades e correções, faz referência às práticas recomendadas e descreve a realidade atual. O documento revela ainda algumas ações que estão a ser tomadas pela Google para lidar com estas políticas. Os insights são baseados no trabalho contínuo no campo da gestão de vulnerabilidades e na aprendizagem em colaboração com o Project Zero, a equipa agnóstica de fornecedor Google que estuda as vulnerabilidades zero-day nos sistemas de hardware e software dentro e fora da Google.