A nova política do Google Project Zero permite mais tempo para corrigir bugs


É uma avaliação de 12 meses com uma revisão no final do ano.

O que você precisa saber

  • O Google está mudando sua política de divulgação do Project Zero para 2020.
  • O Google não divulgará mais vulnerabilidades e bugs antes do final do período de 90 dias, permitindo às empresas tempo para uma correção mais completa.
  • Trata-se de um estudo de política de 12 meses com um período de reavaliação no final do ano.

O Projeto Zero do Google está passando por uma pequena reforma em 2020 – o Google experimentará uma nova mudança em torno de sua controversa política de divulgação de vulnerabilidades. A mudança já entrou em vigor no dia de Ano Novo.

Em resumo: daqui para frente, o Google oferecerá agora um período de carência de 90 dias para as divulgações, independentemente de quando o bug foi corrigido. Anteriormente, a política do Google era "90 dias ou quando o bug foi corrigido", provocando ira de algumas empresas na aparente aleatoriedade de suas divulgações. Agora, o Google pretende ser um pouco mais consistente e evitar até a aparência de impropriedade.

Tim Willis, do Google, explicou o pensamento da equipe, dizendo:

   Nós […] gostamos que a nova política melhore a consistência do nosso processo de divulgação, além de permanecer simples e justa. Por exemplo, alguns fornecedores consideraram nossa determinação de quando uma vulnerabilidade foi corrigida como imprevisível, especialmente ao trabalhar com mais de um pesquisador da equipe em um determinado momento. Eles viram isso como uma barreira para trabalhar conosco em problemas maiores, então vamos remover a barreira e ver se as coisas melhoram. Esperamos que esse experimento incentive os fornecedores a serem transparentes conosco, a compartilhar mais dados, criar confiança e melhorar a colaboração.

A nova mudança de prioridades aqui foi garantir que os patches sejam desenvolvidos e disseminados o mais amplamente possível antes de serem relatados ao público. O Google diz que viu empresas simplesmente "encobrir as falhas" na tentativa de desenvolver patches o mais rápido possível. Isso ainda deixa as vulnerabilidades exploráveis ​​em teoria, e o Google quer evitar essa possibilidade. O Google espera "correções iterativas e mais completas dos fornecedores" com "análise de causa raiz e variante" agora que as empresas têm o período completo de 90 dias disponível.

O Google está testando essa mudança nos próximos 12 meses e será interessante ver como outras empresas de tecnologia reagem a ela. O Google não espera que agrade a todos, mas certamente parece melhor do que a política do ano passado, à primeira vista.

Veja por que o Project Zero deve ser separado do Google





Source link