Cosa hai bisogno di sapere
- Google sta modificando la politica di divulgazione di Project Zero per il 2020.
- Google non rivelerà più vulnerabilità e bug prima della fine del periodo di 90 giorni, concedendo alle aziende il tempo per patch più approfondite.
- Si tratta di una prova della polizza di 12 mesi con un periodo di rivalutazione alla fine dell'anno.
Il Project Zero di Google subirà una piccola revisione nel 2020: Google sperimenterà un nuovo cambiamento attorno alla sua controversa politica di divulgazione delle vulnerabilità. La modifica è già entrata in vigore il giorno di Capodanno.
In breve: andando avanti, Google offrirà ora un periodo di grazia di 90 giorni per le divulgazioni, indipendentemente da quando il bug è stato risolto. In precedenza, la politica di Google era "90 giorni o quando il bug è stato risolto", attirando l'ira di alcune aziende per l'apparente casualità delle sue rivelazioni. Ora, Google mira a essere un po' più coerente ea evitare persino l'apparenza di scorrettezza.
ha spiegato Tim Willis di Google il pensiero della squadra, dicendo:
Ci piace [...] che la nuova politica migliorerà la coerenza del nostro processo di divulgazione, pur rimanendo semplice ed equa. Ad esempio, alcuni fornitori hanno considerato imprevedibile la nostra determinazione di quando una vulnerabilità è stata risolta, soprattutto quando si lavora con più di un ricercatore del team in un dato momento. Lo hanno visto come una barriera per lavorare con noi su problemi più grandi, quindi rimuoveremo la barriera e vedremo se le cose miglioreranno. Ci auguriamo che questo esperimento incoraggi i fornitori a essere trasparenti con noi, a condividere più dati, creare fiducia e migliorare la collaborazione.
Il nuovo cambiamento di priorità in questo caso era garantire che le patch fossero sviluppate e diffuse il più ampiamente possibile prima di essere comunicate al pubblico. Google afferma di aver visto aziende semplicemente "coprire le crepe" nel tentativo di sviluppare patch il più rapidamente possibile. Ciò lascia ancora le vulnerabilità sfruttabili in teoria e Google vuole evitare questa possibilità. Google si aspetta "patch iterative e più approfondite da parte dei fornitori" con "analisi della causa principale e delle varianti" ora che le aziende hanno a disposizione l'intero periodo di 90 giorni.
Google sta sperimentando questo cambiamento nei prossimi 12 mesi e sarà interessante vedere come reagiranno le altre aziende tecnologiche. Google non si aspetta che piaccia a tutti, ma a prima vista sembra sicuramente migliore della politica dell'anno scorso.
Ecco perché Project Zero dovrebbe essere separato da Google