Pouco tempo depois da polêmica gerada pela revelação de vulnerabilidades em produtos da Microsoft e da Apple, o Google anunciou a ampliação do prazo para correção de bugs feita pelo o Project Zero. A medida pretende dar mais tempo as empresas envolvidas para consertarem as falhas relatadas.
A mudança ocorre um mês depois que a Microsoft criticou abertamente o Google por publicar informações do Project Zero sobre uma vulnerabilidade do Windows 8.1, dois dias antes da data prevista para sair a correção.
A Microsoft afirmou que a abordagem do Google foi “menos como princípios e mais como uma pegadinha”, argumentando que os clientes seriam as principais vítimas dessa revelação. O Google por sua vez, defendeu o período de 90 dias, afirmando que os seus atuais prazos de divulgação eram “atualmente a melhor abordagem para a segurança do usuário.”
O que é Project Zero?
Para quem ainda não conhece, o Project Zero é um projeto de pesquisa de segurança do Google, que descobre bugs em softwares e informa seus desenvolvedores. Normalmente, quando os engenheiros do Google encontraram tais vulnerabilidades, a empresa dá aos desenvolvedores um prazo de 90 dias para emitir uma correção, antes de fazer revelar as informações sobre a falha de segurança.
Na época do lançamento, o gigante das buscas acreditava que o prazo seria suficiente para que os desenvolvedores pudessem produzir uma correção, mas em face das críticas, a empresa está estendendo esse período de 90 dias.
Mais 14 dias de carência
De acordo com as novas regras, se os desenvolvedores entrarem em contato com o Google e informarem que uma correção está sendo produzida, mas não estará pronto a tempo para a janela de 90 dias, eles podem receber um outro período de carência de 14 dias. Desse modo, eles pode criar a correção para resolver a falha de segurança, antes que as informações sobre ela sejam publicadas.
O Google também concordou em avançar prazos que caem em fins de semana ou feriados nacionais para o próximo dia útil concorrente e, em circunstâncias extremas, irá passar os prazos para a frente ou para trás.
Esses pequenos ajustes darão aos desenvolvedores um pouco mais tempo para concluir o seu trabalho. Entretanto, comparando com outros, o projeto do Google não é de forma alguma o mais exigente de todos os grupos de pesquisa de segurança quando se trata de descobertas de divulgação de vulnerabilidades. Por exemplo, enquanto o Zero Day Initiative – um programa que premia pesquisadores pela descoberta de vulnerabilidades oferece uma janela mais branda de 120 dias, o CERT da Carnegie Mellon só dá aos desenvolvedores apenas 45 dias.
O ponto mais importante dessa mudança é que o Google e os desenvolvedores chegaram ao um consenso e o resultado disso, é que o usuários continuaram sendo beneficiados pelas descobertas e consequentes correções desse projeto tão essencial.
Fonte: Techtudo