製品の安全性はGoogleの最優先事項の1つです。 デフォルトでは、検索、Gmail、Googleドライブなどのサービスに強力なSSLベースの暗号化を使用します。 データセンター間で交換されるすべてのデータも暗号化されます。 しかし、自社製品のセキュリティとは別に、インターネット全体のセキュリティを重視しています。 そのため、会社の従業員はWeb上の脆弱性の検索に細心の注意を払っており、それらの情報をレポートにまとめています。 これは主に、 Heartbleedなどのエラーの検索に関するものです。
この小規模な、一般的にはサードパーティのプロジェクトの結果は非常に興味深く思えたので、Project Zeroという一般名で新しい専門家チームを編成することにしました。
インターネットを使用して、コードのエラーを利用してコンピューターでウイルスを実行したり、機密情報にアクセスしたり、連絡先を追跡したりすることができないようにする必要があります。 残念ながら、世界には多くの複雑な悪意のあるプログラムがあります。たとえば、「 ゼロデイ脆弱性 」という一般名のプログラムは、 人権活動家や産業スパイに対してすでに使用されています。 私たちは、この慣行を終わらせる必要があると信じており、この問題の解決に取り組む準備ができています。
「プロジェクトゼロ」は、一般的な原因に対する私たちの貢献になる最初のステップです。 私たちの目標は、標的型攻撃の影響を受ける人々の数を大幅に減らすことです。 私たちは、ネットワークセキュリティ研究の分野で最高の実務家が働くことを勧めます。そして、彼らは、インターネット上のセキュリティレベルの改善に、彼らの作業時間の100%を割り当てます。
このプロジェクトには厳密に定義された境界はありません。多くの人が使用する場合、ソフトウェアのセキュリティレベルを改善するために取り組み、ハッカーの技術、目標、動機に特に注意を払います。 標準的なアプローチ(脆弱性の特定とソフトウェアプロバイダーへの報告)を使用し、緩和、開発、プログラム分析の分野で新しい研究を実施します。 一般に、私たちの研究者が注目に値すると考えるすべてを行うこと。
私たちは仕事を完全に透明にするつもりです。 検出された各エラーは、 独立したデータベースに入力されます 。 問題のソフトウェアのプロバイダーにエラーを報告します。 この情報は他の誰とも共有されません。 バグレポートを公開した後(通常は修正後)、ソフトウェアベンダーが修正するために何をしたかを確認し、ユーザーディスカッションを表示し、使用履歴と故障の兆候を確認できます。 また、検出されたエラーに関するレポートをソフトウェアサプライヤに短時間(実際にはリアルタイム)で送信し、迅速な排除を促進することも約束します。
私たちのチームには新しい従業員が必要です。 最高のソフトウェアセキュリティ研究者は仕事を愛しているため、これを行うと確信しています。 私たちは、そのようなスペシャリストが新しい場所で好きなことを行うように提供しますが、他のことに気を取られることなく率直に。 また、私たちのコミュニティを拡大し、私たちの新しいプロジェクトについての言葉を広め、私たちに関する新しい投稿の外観を喜んで伝えます。 そして、何か面白いものを見つけた場合は、ブログでそれを議論してください 。 今すぐ参加しよう!