A equipe de localização de vulnerabilidades do Google está novamente empurrando o envelope de divulgação responsável:
A equipe do Project Zero do Google manterá sua política 90+30 existente em relação à divulgação de vulnerabilidades, na qual fornece aos fornecedores 90 dias antes da divulgação completa, com um período de 30 dias permitido para adoção de patches se o bug for corrigido antes do prazo.
No entanto, a partir de 29 de julho, o Project Zero também divulgará detalhes limitados sobre qualquer descoberta que fizerem dentro de uma semana após a divulgação do fornecedor. Essas informações abrangerão:
- O fornecedor ou projeto de software livre que recebeu o relatório
- O produto afetado
- A data em que o relatório foi arquivado e quando o prazo de divulgação de 90 dias expira
Tenho sentimentos mistos sobre isso. Por um lado, gosto que isso coloque mais pressão sobre os fornecedores para corrigir rapidamente. Por outro lado, se nenhuma indicação for fornecida sobre a gravidade de uma vulnerabilidade, isso pode facilmente causar pânico desnecessário.
O problema é que o Google não é um grupo neutro de caça a vulnerabilidades. Na medida em que encontra, publica e reduz a confiança nos produtos dos concorrentes, o Google se beneficia como empresa.
Tags: divulgação, Pesquise no Google, Remendar, Vulnerabilidades
Foto da barra lateral de Bruce Schneier por Joe MacInnis.