Google ha incrementato l’intervallo di tempo concesso alle software house per rilasciare le patch che risolvono vulnerabilità scoperte dal team Project Zero. L’azienda di Mountain View aspetterà altri 14 giorni, prima di divulgare i dettagli delle falle di sicurezza, ma solo se le software house promettono di rilasciare un fix entro due settimane. Questa decisione dovrebbe accontentare anche Microsoft che, all’inizio di gennaio, aveva criticato le scelte di Google.
L’obiettivo di Project Zero è scoprire vulnerabilità zero-day nelle applicazioni e nei servizi più popolari. Quando viene identificato un bug, Google contatta immediatamente la software house e imposta una disclosure deadline di 90 giorni, allo scadere dei quali un sistema automatizzato divulga pubblicamente i dettagli della vulnerabilità e il codice dell’exploit. Analizzando i dati raccolti, Google ha rilevato che l’85% delle falle di sicurezza sono state chiuse in 90 giorni e che le altre sono state risolte pochi giorni dopo. Per questo motivo, l’azienda di Mountain View ha deciso di apportare alcune modifiche alla policy:
- Se i 90 giorni coincidono con il weekend o un giorno festivo, la scadenza verrà posticipata al giorno lavorativo successivo.
- Se scadono i 90 giorni, ma la software house comunica (prima della scadenza) che la patch verrà rilasciata entro i 14 giorni successivi, la pubblicazione dei dettagli verrà posticipata fino al giorno in cui sarà disponibile la patch.
- Ad ogni vulnerabilità verrà pre-assegnato il riferimento CVE.
Google si riserva comunque il diritto di anticipare o posticipare le scadenze in caso di circostanze estreme. La policy è valida per tutti i prodotti, anche per Chrome e Android. La nuova deadline timeline di Project Zero rappresenta una via di mezzo tra le policy del CERT (45 giorni) e della Zero Day Initiative (120 giorni).