Google ha annunciato una nuova policy nel proprio protocollo di intervento a seguito della scoperta di vulnerabilità su software e servizi altrui. Il gruppo ha infatti spiegato di voler imporre una certa solerzia di intervento, mettendo pressione ai singoli vendor nel nome della sicurezza degli utenti.
Il diktat di Google è severo: nei casi di vulnerabilità di particolare gravità, il vendor avrà appena 7 giorni di tempo per poter mettere una pezza ai propri errori. Google non chiede che si disponga di patch entro tempi tanto brevi, tuttavia spiega di ritenere appropriato un tempo di 7 giorni entro cui proporre quantomeno un workaround che consenta di limitare i pericoli per gli utenti più attenti a questo tipo di problematiche. A 7 giorni dalla notifica della vulnerabilità, insomma, il potere deve già essere nelle mani degli utenti i quali, o tramite workaround o mediante semplice consapevolezza del pericolo, avranno così la possibilità di agire a salvaguardia del proprio sistema.
La policy annunciata da Google solleverà senza ombra di dubbio feroci polemiche poiché impone un limite severo oltre il quale, oltre ad informare gli utenti, Google informerà anche malintenzionati pronti ad approfittare dei bug emersi. Google spiega di voler tutelare gli utenti dalle malefatte ed i dissidenti dal controllo di governi repressivi: ridurre il tempo di esposizione silente di una vulnerabilità zero-day è secondo il team di Mountain View il modo migliore per ridurre l’esposizione dell’utenza ai pericoli maggiori.
7 giorni, dopodiché Google comunicherà pubblicamente le falle scoperte (e sarebbero ormai dozzine le falle scoperte e segnalate a gruppi terzi negli ultimi anni): il gruppo spiega inoltre di voler applicare a se stesso i medesimi standard, assoggettando quindi anche la propria stessa realtà alle regole che si intende imporre ad altri gruppi. L’obiettivo è quello di definire standard di sicurezza più stringenti, a costo di forzare la mano