A equipa da Google por detrás do Project Zero, uma iniciativa focada em descobrir falhas de segurança em aplicações de terceiros, vai alterar a forma como as falhas são publicamente divulgadas.
De acordo com o comunicado da equipa, as falhas vão agora ter um período de 30 dias adicionais antes de detalhes técnicos das mesmas serem publicamente reveladas, mantendo-se os 90 dias desde a notificação das entidades responsáveis para resolver o problema. Os 30 dias adicionais pretendem, no entanto, permitir que possíveis atualizações sejam fornecidas a tempo antes de uma falha ser publicamente divulgada – e possa assim afetar os utilizadores que ainda não tenham atualizado.
De relembrar que esta mudança surge depois de, no ano passado, também terem sido feitas mudanças na forma como vulnerabilidades são reveladas, dando mais tempo para as entidades corrigirem possíveis falhas e tornando o processo mais linear.
A Google acredita que o novo processo de 90+30 dias vai um pouco contra a ideia de disponibilizar detalhes sobre falhas mais rapidamente, mas ao mesmo tempo permite garantir que as atualizações chegam a mais utilizadores e mais rapidamente.
De notar que o período adicional de 30 dias apenas será fornecido se a empresa responsável pelo software tiver corrigido as falhas – caso as mesmas não tenham sido corrigidas ou as empresas não tenham respondido aos contactos da equipa do Project Zero, então a falha é divulgada ao fim de 90 dias.
Nenhum comentário
Seja o primeiro!