Google lança novas iniciativas de segurança cibernética

Google lança novas iniciativas de segurança cibernética

O Google delineou na quinta-feira um conjunto de iniciativas destinadas a melhorar o ecossistema de gerenciamento de vulnerabilidades e estabelecer medidas de maior transparência em relação à exploração.

“Embora a notoriedade das vulnerabilidades de dia zero normalmente chegue às manchetes, os riscos permanecem mesmo depois de serem conhecidos e corrigidos, que é a história real”, disse a empresa em um anúncio. “Esses riscos abrangem tudo, desde o tempo de atraso na adoção de OEM, pontos problemáticos de teste de patch, problemas de atualização do usuário final e muito mais.”

As ameaças de segurança também decorrem de patches incompletos aplicados por fornecedores, com uma parte dos zero-days explorada na natureza, transformando-se em variantes de vulnerabilidades corrigidas anteriormente.

Mitigar esses riscos requer abordar a causa raiz das vulnerabilidades e priorizar práticas modernas de desenvolvimento de software seguro para eliminar classes inteiras de ameaças e bloquear possíveis vias de ataque.

Levando esses fatores em consideração, o Google disse que está formando um Hacking Policy Council para “garantir que novas políticas e regulamentos apoiem as melhores práticas para gerenciamento e divulgação de vulnerabilidades”.

A empresa enfatizou ainda que está se comprometendo a divulgar publicamente os incidentes quando encontrar evidências de exploração ativa de vulnerabilidades em seu portfólio de produtos.

Por fim, a gigante da tecnologia disse que está instituindo um Fundo de Defesa Legal de Pesquisa de Segurança para fornecer financiamento inicial para representação legal para indivíduos envolvidos em pesquisas de boa fé para encontrar e relatar vulnerabilidades de uma maneira que promova a segurança cibernética.

O mais recente impulso de segurança do Google fala sobre a necessidade de olhar além dos dias zero, dificultando a exploração em primeiro lugar, conduzindo a adoção de patches para vulnerabilidades conhecidas em tempo hábil, estabelecendo políticas para abordar os ciclos de vida do produto e alertando os usuários quando os produtos são explorada ativamente.

Também serve para destacar a importância de aplicar os princípios seguros por design durante todas as fases do ciclo de vida de desenvolvimento de software.

A divulgação ocorre quando o Google lançou um serviço de API gratuito chamado deps.dev API em uma tentativa de proteger a cadeia de suprimentos de software, fornecendo acesso a metadados de segurança e informações de dependência para mais de 50 milhões de versões de cinco milhões de pacotes de código aberto encontrados no Go, Maven, repositórios PyPI, npm e Cargo.

Em um desenvolvimento relacionado, a divisão de nuvem do Google também anunciou a disponibilidade geral do serviço Assured Open Source Software (Assured OSS) para ecossistemas Java e Python.