Project Zero está probando un nuevo modelo para revelar vulnerabilidades que dará más tiempo a los OEM para implementar parches para los usuarios afectados.
El equipo Project Zero de Google está anunciando algunos cambios importantes en la forma en que divulga al público las vulnerabilidades de seguridad. Desde su lanzamiento, Project Zero ha seguido un estricto plazo de divulgación de 90 días. Lo que esto significa es que cuando se encuentra una vulnerabilidad, Project Zero Espere 90 días antes de documentar públicamente. los detalles técnicos. Esto permite a los proveedores corregir la falla en su software antes de que los atacantes puedan explotarla.
El Proyecto Cero ya está probando un nuevo modelo para 2021 que otorgará a los OEM un mes adicional para implementar parches para los usuarios afectados. Anteriormente, la documentación técnica de una vulnerabilidad se producía tan pronto como transcurría el plazo de 90 días, independientemente de si se había emitido un parche o no. En el nuevo modelo, si un OEM soluciona el problema dentro del período de 90 días, la documentación técnica se entregará 30 días después de la solución.
Google dice que la nueva política 90+30 tiene como objetivo hacer que la adopción del parche sea una parte explícita del programa de divulgación. Los proveedores tendrán 90 días para desarrollar el parche y 30 días para implementar la solución para sus usuarios.
"Pasar a un modelo "90+30" nos permite desacoplar el tiempo de aplicación del parche del tiempo de adopción del mismo, reducir el debate polémico en torno compensaciones entre atacante y defensor y el intercambio de detalles técnicos, al tiempo que se aboga por reducir la cantidad de tiempo que los usuarios finales son vulnerables a ataques conocidos,", dijo el director de Project Zero, Tim Willis, en una publicación de blog.
Las vulnerabilidades en estado salvaje, que se están explotando activamente, aún tendrán un plazo de divulgación de 7 días. Pero ahora, si un problema se soluciona dentro de los 7 días, Google publicará los detalles técnicos 30 días después de la solución. Anteriormente, Google publicaría los detalles el séptimo día, independientemente de cuándo se solucionó el problema. Además, los proveedores ahora también pueden solicitar un período de gracia de 3 días para vulnerabilidades de esta naturaleza, que no se ofrecía antes.
El equipo de Project Zero reconoce que esta nueva política es una ligera regresión con respecto a su postura anterior, que priorizaba la publicación rápida de detalles técnicos al público. Sin embargo, el equipo señala que esta política relajada no se mantendrá por mucho tiempo, ya que buscarán acortar el plazo de divulgación en un futuro próximo. El equipo insinuó que para 2022, probablemente pasarían a un modelo 84+28.