Pouco tempo depois da pol?mica gerada pela revela??o de vulnerabilidades em produtos da Microsoft e da Apple, o Google anunciou a amplia??o do prazo para corre??o de bugs feita pelo o Project Zero. A medida pretende dar mais tempo as empresas envolvidas para consertarem as falhas relatadas.
Project Zero do Google ir? ampliar prazo de divulga??o de vulnerabilidades ap?s pl?micas (Foto: Montagem/Edivaldo Brito)
A mudan?a ocorre um m?s depois que a Microsoft criticou abertamente o Google por publicar informa??es do Project Zero sobre uma vulnerabilidade do Windows 8.1, dois dias antes da data prevista para sair a corre??o.
A Microsoft afirmou que a abordagem do Google foi ?menos como princ?pios e mais como uma pegadinha?, argumentando que os clientes seriam as principais v?timas dessa revela??o. O Google por sua vez, defendeu o per?odo de 90 dias, afirmando que os seus atuais prazos de divulga??o eram ?atualmente a melhor abordagem para a seguran?a do usu?rio.?
O que ? Project Zero?
Para quem ainda n?o conhece, o Project Zero ? um projeto de pesquisa de seguran?a do Google, que descobre bugs em softwares e informa seus desenvolvedores. Normalmente, quando os engenheiros do Google encontraram tais vulnerabilidades, a empresa d? aos desenvolvedores um prazo de 90 dias para emitir uma corre??o, antes de fazer revelar as informa??es sobre a falha de seguran?a.
Na ?poca do lan?amento, o gigante das buscas acreditava que o prazo seria suficiente para que os desenvolvedores pudessem produzir uma corre??o, mas em face das cr?ticas, a empresa est? estendendo esse per?odo de 90 dias.
Mais 14 dias de car?ncia
De acordo com as novas regras, se os desenvolvedores entrarem em contato com o Google e informarem que uma corre??o est? sendo produzida, mas n?o estar? pronto a tempo para a janela de 90 dias, eles podem receber um outro per?odo de car?ncia de 14 dias. Desse modo, eles pode criar a corre??o para resolver a falha de seguran?a, antes que as informa??es sobre ela sejam publicadas.
O Google tamb?m concordou em avan?ar prazos que caem em fins de semana ou feriados nacionais para o pr?ximo dia ?til concorrente e, em circunst?ncias extremas, ir? passar os prazos para a frente ou para tr?s.
Esses pequenos ajustes dar?o aos desenvolvedores um pouco mais tempo para concluir o seu trabalho. Entretanto, comparando com outros, o projeto do Google n?o ? de forma alguma o mais exigente de todos os grupos de pesquisa de seguran?a quando se tr
... ata de descobertas de divulga??o de vulnerabilidades. Por exemplo, enquanto o Zero Day Initiative ? um programa que premia pesquisadores pela descoberta de vulnerabilidades oferece uma janela mais branda de 120 dias, o CERT da Carnegie Mellon s? d? aos desenvolvedores apenas 45 dias.
O ponto mais importante dessa mudan?a ? que o Google e os desenvolvedores chegaram ao um consenso e o resultado disso, ? que o usu?rios continuaram sendo beneficiados pelas descobertas e consequentes corre??es desse projeto t?o essencial.
Project Zero do Google ir? ampliar prazo de divulga??o de vulnerabilidades ap?s pl?micas (Foto: Montagem/Edivaldo Brito)