グーグルは2023年、いわゆる「パッチギャップ」(脆弱性の修正が公開されてからユーザーに届くまでの空白期間)を埋めるため、Chromeブラウザーのセキュリティアップデートを週次配信に切り替えるという重要な決断を下した。そして今回、さらに大きな意味を持ちうるアップデートサイクルの変更が明らかになった。
Chromeブラウザーのリリースチームマネージャーであるベン・メイソンと、グーグルの主席エンジニアであるディーパク・ラビチャンドランが、Chromeの安定版リリースサイクルを2週間ごとに移行すると発表したのである。この変更が何を意味し、なぜブラウザーセキュリティにとって重要なのかを解説する。
グーグルChromeの更新サイクルが加速──9月から開始
パッチギャップでも脅威ウィンドウでも、呼び方は何でもよい。要するに、攻撃者が既知の脆弱性を悪用できる時間を与えてしまうものはすべて好ましくないということだ。だからこそグーグルは2023年8月、Chrome 116を皮切りに、安定版のセキュリティアップデートを週次で配信し始めた。当時グーグルは「セキュリティ修正がより早く届くようになる」と述べており、これは当時も今も素晴らしい取り組みである。もっとも、毎月のChrome安定版アップデートが降りてくるまで更新を適用しないユーザーにとっては話が別だが。
グーグルは米国時間3月3日の発表で、4週間ごとの「マイルストーン」リリースが「セキュリティ、安定性、速度、そしてシンプルさをユーザーに届けてきた」と説明している。セキュリティアップデートのリリースサイクルを加速させてからほぼ3年、グーグルは今度はマイルストーンについても同様の高速化に踏み切った。セキュリティアップデートほど頻繁ではないが、2週間ごとのリリースとなる。
デスクトップ、Android、iOSの各プラットフォームに等しく適用
「この変更は、安定性を維持しつつ、開発者とユーザーがパフォーマンスの改善、修正、新機能により迅速にアクセスできるようにすることを目的としています」と、グーグルのメイソンとラビチャンドランは述べている。この夏、米国時間9月8日のChrome 153のリリースを皮切りに、この新しい2週間ごとのマイルストーンアップデートサイクルは、デスクトップ、Android、iOSの各プラットフォームに等しく適用される。
より頻繁なリリースと聞くと不安に感じるかもしれないが、心配する必要はない。これらはベータ版ではなく安定版のリリースであり、グーグルが述べているとおり「混乱を最小限に抑え、リリース後のデバッグを簡素化する」効果が期待できる。既存の週次セキュリティアップデートと合わせて考えれば、これはグーグルがセキュリティに真剣に取り組んでいる好例であり、遠慮なく言わせてもらえば称賛に値する。
開発者・管理者向けのチャンネルは、従来通りのスケジュール
ただし、DevチャンネルやCanaryチャンネルのアップデートには変更がない点は指摘しておくべきだろう。また、アップデート管理に追加の時間を必要とする「エンタープライズ管理者やChromium組み込み開発者」向けの延長安定版リリーススケジュールも変更されない。こちらは従来どおり8週間サイクルが維持されることを、グーグルは表明している。
