Project zero aggiunge ulteriori 30 giorni ai 90, prima della disclosure pubblica.



Il team di sicurezza di Google Project Zero ha aggiornato le sue linee guida sulla divulgazione responsabile delle vulnerabilità per aggiungere un margine di ulteriori 30 giorni (rispetto agli attuali 90 giorni) su alcuni bug di sicurezza, in modo che gli utenti finali abbiano abbastanza tempo per applicare patch al software e impedire agli aggressori di armare i bug.


La politica del 2020 incentivavano i seguenti punti:


  1. Sviluppo più rapido delle patch: abbreviare il tempo tra una segnalazione di bug e una correzione disponibile per gli utenti;

  2. Sviluppo completo delle patch: assicurarsi che ogni correzione era corretta e completa;

  3. Adozione delle patch: abbreviare il tempo tra il rilascio di una patch e l'installazione da parte degli utenti.

Ma tutto questo probabilmente non è bastato a consentire ai vendor di prodotto nel procedere celermente.


Infatti, i cambiamenti odierni sono di particolare importanza perché gran parte della comunità della sicurezza informatica ha adottato le regole di Project Zero come metodologia non ufficiale per divulgare un bug di sicurezza ai fornitori di software e quindi al pubblico in generale.


Prima di oggi, i ricercatori di Google Project Zero avevano concesso ai fornitori di software 90 giorni per correggere un bug di sicurezza.


Quando il bug veniva corretto, o alla fine del periodo di 90 giorni, i ricercatori di Google avrebbero pubblicato i dettagli del bug online.