Lo que necesitas saber
- Google está cambiando su política de divulgación de Project Zero para 2020.
- Google ya no divulgará las vulnerabilidades y los errores antes de que finalice el período de 90 días, lo que permitirá que las empresas tengan tiempo para realizar parches más completos.
- Esta es una póliza de prueba de 12 meses con un período de reevaluación al final del año.
El Proyecto Cero de Google se someterá a una revisión menor en 2020: Google probará un nuevo cambio en torno a su controvertida política de divulgación de vulnerabilidades. El cambio ya entró en vigor el día de Año Nuevo.
En resumen: en el futuro, Google ahora ofrecerá un período de gracia de 90 días para divulgaciones, independientemente de cuándo se solucionó el error. Anteriormente, la política de Google era "90 días o cuando se solucione el error", provocando la ira de algunas empresas por la aparente aleatoriedad de sus divulgaciones. Ahora, Google pretende ser un poco más consistente y evitar incluso la apariencia de incorrección.
Tim Willis de Google explicó el pensamiento del equipo, diciendo:
Nos [...] gusta que la nueva política mejorará la consistencia de nuestro proceso de divulgación, sin dejar de ser simple y justo. Por ejemplo, algunos proveedores consideraron impredecible nuestra determinación de cuándo se solucionó una vulnerabilidad, especialmente cuando se trabaja con más de un investigador en el equipo en un momento dado. Lo vieron como una barrera para trabajar con nosotros en problemas más grandes, así que vamos a eliminar la barrera y ver si las cosas mejoran. Esperamos que este experimento anime a los proveedores a ser transparentes con nosotros, a compartir más datos, generar confianza y mejorar la colaboración.
El nuevo cambio en las prioridades aquí fue garantizar que los parches se desarrollen y difundan lo más ampliamente posible antes de informar al público. Google dice que ha visto a las empresas simplemente "tapar las grietas" en un intento de desarrollar parches lo más rápido posible. Eso todavía deja las vulnerabilidades explotables en teoría, y Google quiere evitar esa posibilidad. Google espera "parches iterativos y más completos de los proveedores" con "análisis de causas y variantes" ahora que las empresas tienen disponible el período completo de 90 días.
Google está probando este cambio durante los próximos 12 meses, y será interesante ver cómo reaccionan otras empresas tecnológicas. Google no espera que complazca a todos, pero ciertamente se ve mejor que la política del año pasado a primera vista.
He aquí por qué Project Zero debería separarse de Google