Google ha ampliado el periodo de divulgación de vulnerabilidades de su departamento de seguridad Project Zero, después de la polémica generada por la publicación de vulnerabilidades Zero Day en Windows que no habían sido parcheadas.
El último “ajuste en su política de divulgación” aumenta bajo un periodo de gracia en 14 días, los 90 oficiales fijados en las políticas de divulgación de Project Zero una vez que Google ha informado al productor del software de la misma y si se informa a Google de la publicación del parche en el periodo.
Además, se reserva una posible ampliación del plazo dependiendo del tipo de vulnerabilidad “en el deseo de mejorar los tiempos de respuesta de la industria a los errores de seguridad”. Google explica que cualquier vulnerabilidad que divulgue tendrá que tener asignada una CVE, estándar industrial para la identificación exclusiva de vulnerabilidades.
En respuesta a las críticas de Microsoft de la utilización de estas vulnerabilidades como medida de presión a competidores, desde Project Zero recuerdan que los errores en los productos de Google (Chrome y Android) están sujetos a la misma política de plazos.
Plazos que se relajan pero que no cierran el debate. Unos consideran que publicar vulnerabilidades críticas sin parchear es una irresponsabilidad y otros opinan que poner un plazo es la única forma para que los desarrolladores las solucionen.
Google
no es la única gran compañía de tecnología con plazos de divulgación. La iniciativa Zero Day de HP tiene un periodo de 120 días, mientras que el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, tiene un plazo de 45 días.
Este tipo de política de plazos pretende asegurar que los proveedores no mantienen vulnerabilidades sin parchear durante meses o años en algunos casos. Y no se libra ninguna, ni siquiera el impulsor de Project Zero: Google.
