O Projeto Zero do Google, formado por uma equipe de engenheiros de segurança dedicados a tarefa de reduzir o número de vulnerabilidades de “dia zero” em toda a internet, dará aos fornecedores de software 30 dias extras antes de divulgar os problemas de vulnerabilidade, a fim de dar aos usuários finais tempo para corrigir seu software.
Os fornecedores de software ainda terão 90 dias para consertar as falhas, mas a equipe do Projeto Zero vai esperar mais 30 dias antes de divulgar os detalhes do bug publicamente. Se uma vulnerabilidade estiver sendo explorada ativamente, a empresa terá sete dias para emitir um patch e um período de carência de três dias, se solicitado. Mas o Google vai esperar 30 dias antes de divulgar detalhes técnicos.
No ano passado, o Google anunciou um teste que dava aos fornecedores de software 90 dias para trabalhar no desenvolvimento e adoção de patches, com o propósito de que se um desenvolvedor quisesse mais tempo para permitir que os usuários instalassem um patch, eles enviariam as correções no início dos 90 dias.
Veja isso
Google revela novo bug de dia zero no Windows que vem sendo explorado
Google derruba operação de espionagem de país amigo dos EUA
“Na prática, entretanto, não observamos uma mudança significativa nos cronogramas de desenvolvimento de patch e continuamos a receber feedback de fornecedores de que eles estavam preocupados em divulgar publicamente detalhes técnicos sobre vulnerabilidades e explorações antes que a maioria dos usuários instalasse o patch”, escreveu Tim Willis em uma postagem no blog do Projeto Zero. “Em outras palavras, o cronograma para a adoção do patch não foi claramente compreendido.”
O objetivo da atualização de 2021, escreveu Willis, é tornar o cronograma de adoção do patch uma parte explícita de sua política de divulgação de vulnerabilidades. “Essa política 90 + 30 dá aos fornecedores mais tempo do que nossa política atual, já que pular direto para uma política 60 + 30 [ou similar] provavelmente seria muito abrupto e perturbador”, escreveu ele. “Nossa preferência é escolher um ponto de partida que possa ser atendido de forma consistente pela maioria dos fornecedores e, em seguida, reduzir gradualmente os cronogramas de desenvolvimento e adoção de patch.”