Lo que necesitas saber
- Google está cambiando su política de divulgación de Project Zero para 2020.
- Google ya no divulgará las vulnerabilidades y los errores antes de que finalice el período de 90 días, lo que permitirá que las empresas tengan tiempo para realizar parches más completos.
- Esta es una póliza de prueba de 12 meses con un período de reevaluación al final del año.
El Proyecto Cero de Google se someterá a una revisión menor en 2020: Google probará un nuevo cambio en torno a su controvertida política de divulgación de vulnerabilidades. El cambio ya entró en vigor el día de Año Nuevo.
En resumen: en el futuro, Google ahora ofrecerá un período de gracia de 90 días para divulgaciones, independientemente de cuándo se solucionó el error. Anteriormente, la política de Google era "90 días o cuando se solucione el error", provocando la ira de algunas empresas por la aparente aleatoriedad de sus divulgaciones. Ahora, Google pretende ser un poco más consistente y evitar incluso la apariencia de incorrección.
Tim Willis de Google explicó el pensamiento del equipo, diciendo:
El nuevo cambio en las prioridades aquí fue garantizar que los parches se desarrollen y difundan lo más ampliamente posible antes de informar al público. Google dice que ha visto a las empresas simplemente "tapar las grietas" en un intento de desarrollar parches lo más rápido posible. Eso todavía deja las vulnerabilidades explotables en teoría, y Google quiere evitar esa posibilidad. Google espera "parches iterativos y más completos de los proveedores" con "análisis de causas y variantes" ahora que las empresas tienen disponible el período completo de 90 días.
Google está probando este cambio durante los próximos 12 meses, y será interesante ver cómo reaccionan otras empresas tecnológicas. Google no espera que complazca a todos, pero ciertamente se ve mejor que la política del año pasado a primera vista.
He aquí por qué Project Zero debería separarse de Google