O Project Zero está testando um novo modelo para divulgar vulnerabilidades que dará mais tempo aos OEMs para implementar patches aos usuários afetados.
A equipe do Project Zero do Google está anunciando algumas grandes mudanças na forma como divulga vulnerabilidades de segurança ao público. Desde o seu lançamento, o Project Zero seguiu um prazo estrito de divulgação de 90 dias. O que isto significa é que quando uma vulnerabilidade for encontrada, o Project Zero irá espere 90 dias antes de documentar publicamente os detalhes técnicos. Isso permite que os fornecedores corrijam a falha em seu software antes que os invasores possam explorá-la.
O Projeto Zero é agora testando um novo modelo para 2021, que concederá aos OEMs um mês adicional para distribuir patches aos usuários afetados. Anteriormente, a documentação técnica de uma vulnerabilidade acontecia assim que o prazo de 90 dias expirava – independentemente de um patch ter sido emitido ou não. No novo modelo, se um OEM resolver o problema no prazo de 90 dias, a documentação técnica acontecerá 30 dias após a correção.
O Google afirma que a nova política 90+30 visa tornar a adoção do patch uma parte explícita do programa de divulgação. Os fornecedores terão 90 dias para desenvolver o patch e 30 dias para distribuí-lo aos seus usuários.
"Mudar para um modelo "90+30" nos permite dissociar o tempo de aplicação do patch do tempo de adoção do patch, reduzindo o debate controverso em torno compensações entre atacante/defensor e o compartilhamento de detalhes técnicos, ao mesmo tempo em que defende a redução do tempo em que os usuários finais ficam vulneráveis a ataques conhecidos," disse o gerente do Project Zero, Tim Willis, em uma postagem no blog.
As vulnerabilidades existentes, que estão sendo exploradas ativamente, ainda terão um prazo de divulgação de 7 dias. Mas agora, se um problema for corrigido dentro de 7 dias, o Google publicará os detalhes técnicos 30 dias após a correção. Anteriormente, o Google publicaria os detalhes no sétimo dia, independentemente de quando o problema fosse corrigido. Além disso, os fornecedores agora também podem solicitar um período de carência de 3 dias para vulnerabilidades desta natureza, o que não era oferecido antes.
A equipa do Project Zero reconhece que esta nova política é uma ligeira regressão da sua posição anterior, que priorizava a rápida divulgação de detalhes técnicos ao público. No entanto, a equipa observa que esta política flexível não durará muito tempo, uma vez que procurarão reduzir o prazo de divulgação num futuro próximo. A equipe deu a entender que, para 2022, provavelmente mudariam para um modelo 84+28.