Facebook は初の脆弱性開示ポリシーを公開し、それが正しいことだと判断した場合、バグの存在を世界に公表する根拠を与えた。
Facebookは、「オープンソースソフトウェアを含むサードパーティのコードやシステムに、重大なセキュリティバグや脆弱性が発見されることがあります」と述べている。「そのような事態が発生した場合、当社の最優先事項は、これらの問題を速やかに修正することであり、同時に、影響を受ける人々に情報を提供し、パッチの適用やシステムのアップデートによって自らを守れるようにすることです。」
Facebook は人々に対するリスクの解釈に基づいて評価します。
ソーシャルネットワーク™は、何をいつ開示すべきかを決定する裁定者となっています。同社の方針は、「適切な責任者」に連絡し、21日以内に回答を求めることです。
「報告後21日以内に返答がない場合、Facebookは脆弱性を公開する権利を留保します」とポリシーには記載されており、さらに「報告後90日以内に問題が適切な方法で解決されていることを示す修正やアップデートがない場合、Facebookは脆弱性を公開します」と付け加えている。
しかし同社は、これらのルールには例外も示しており、バグがすでに悪用されている場合は情報開示を加速し、「プロジェクトのリリースサイクルでより長い期間が必要な場合」はニュースの公開を遅らせるとしている。
3番目の理由は次のとおりです。
Facebookは「人々へのリスクの解釈に基づき、それぞれの問題を個別に評価します。」
Facebookが「悪質な」アプリSDKメーカーに訴訟を起こせ、個人情報を盗み取ったと非難
続きを読む
このポリシーは、Google の Project Zero で使用されているポリシーとそれほど大きくは変わらない。Project Zero でも、90 日後にバグが公開され、状況によっては延長も提供される。
おそらく偶然でしょうが、Facebook傘下のWhatsAppは本日、セキュリティアドバイザリページを公開し、メッセージングサービスのデスクトップアプリとスマートフォンアプリに見つかった6つのバグを明らかにしました。CVE-2019-11928の1つは2019年の日付が付けられているため、Facebookの公開が遅れたように見えるかもしれませんが、CVE番号は後で利用するためにブロック単位で割り当てられるため、今回の件で非難する必要はありません。®
