Google Cloud hat sein Engagement für Sicherheit und Transparenz mit einem erweiterten CVE-Programm bekräftigt. Google Cloud wird nun CVEs für kritische Sicherheitslücken ausstellen, auch wenn keine Maßnahmen oder Patches seitens des Kunden erforderlich sind. Der CVE-Eintrag wird mit dem Tag "ausschließlich gehosteter Dienst" versehen, um anzuzeigen, dass die Sicherheitslücke keine Maßnahmen seitens des Kunden erfordert. Diese Maßnahme zielt darauf ab, die Transparenz zu erhöhen und das Vertrauen im IT-Ökosystem zu stärken. Die Veröffentlichung von CVEs hilft den Nutzern, öffentlich bekannte Sicherheitslücken zu verfolgen und so ihr Sicherheitsverständnis zu verbessern. Wie in unserem Secure-by-Design-Papier erwähnt, hat Google eine 20-jährige Geschichte der Zusammenarbeit mit externen Sicherheitsforschern, deren unabhängige Arbeit zur Entdeckung von Sicherheitslücken für Google hilfreich war. Unser Prozess zur Meldung von Sicherheitslücken fördert die direkte Beteiligung als Teil unseres Community-basierten Ansatzes zur Bewältigung von Sicherheitsbedenken. Diese Ankündigung ist ein wichtiger Schritt von Google Cloud, um eine Kultur der Transparenz in Bezug auf Sicherheitslücken zu normalisieren und entspricht unserem Shared-Fate-Modell, bei dem wir mit unseren Kunden zusammenarbeiten, um die Sicherheit kontinuierlich zu verbessern.