Beberapa waktu lalu, Google mengeluarkan suatu statement mengejutkan sekaligus menggembirakan terkait kebijakan dalam melakukan perbaikan celah keamanan di setiap produk yang dikeluarkan ataupun digunakan.

Mengapa menggembirkan? Hal ini dikarenakan Google akan turut serta dalam mencari berbagai celah keamanan terkait 0day yang ditemukan di setiap perangkat lunak. Namun akan menjadi mengejutkan dikarenakan Google pun akan turut serta memantau perkembangan dari setiap perusahaan yang mengeluarkan ataupun menggunakan perangkat lunak terkait.

Melalui 2 orang security engineers nya (Chris Evans dan Drew Hintz), Google menyampaikan bahwa mereka akan memberikan waktu maksimal 7 hari untuk pertanggungjawaban (Responsible Disclosure) dari pihak perusahaan untuk memperbaiki celah keamanan terkait. Disampaikan oleh pihak Google bahwa 7 hari merupakan waktu yang umum digunakan oleh mereka dalam menutupi celah keamanan yang bersifat berbahaya yang harus segera ditindaklanjuti. “Based on our experience, however, we believe that more urgent action — within 7 days — is appropriate for critical vulnerabilities under active exploitation” tutur mereka di dalam blog terkait.

Batas waktu selama 7 hari ini dianggap oleh Google sebagai waktu yang sudah lebih dari cukup untuk suatu perusahaan menyampaikan perbaikan atau setidak-tidaknya menyampaikan anjuran terkait tindak lanjut yang mungkin dapat dilakukan oleh pengguna. Bila setelah 7 hari berlalu ternyata tidak ditemukan adanya informasi apapun terkait anjuran ini, secara halus Google menyampaikan bahwa mereka lah yang akan memberitahukan ke pengguna terkait celah keamanan ini dengan menyampaikan hal-hal yang harus dilakukan.



Kemudian, Google pun menyampaikan bahwa batas waktu maksimal yang diberikan kepada perusahaan dalam memperbaiki celah keamanan yang ada yaitu selama 60 hari. Bila telah melewati batas waktu yang telah ditentukan, maka informasi terkait celah keamanan ini setidak-tidaknya harus disampaikan oleh perusahaan ke penggunanya. Bila tidak disampaikan, maka Google sendiri yang akan mengeluarkan informasi celah keamanan ini kepada publik. “Our standing recommendation is that companies should fix critical vulnerabilities within 60 days — or, if a fix is not possible, they should notify the public about the risk and offer workarounds.”

Sekedar informasi, peraturan ini dibuat oleh Google dikarenakan mereka menyadari bahwa terdapat begitu banyaknya aktivitas para penyerang dalam memanfaatkan celah keamanan yang bersifat 0day dan perangkat lunak yang belum diperbaiki ini. Dengan dibuatnya peraturan ini, Google berharap bahwa setiap perusahaan akan memiliki standarisasi yang sama dalam meningkatkan kondisi keamanan aplikasi web dan meningkatkan koordinasi dalam menangani kerentanan yang ada.