A equipe de segurança do Project Zero do Google agora esperará 90 dias completos antes de divulgar as vulnerabilidades que descobrir.
O Project Zero é uma divisão de segurança empregada pelo Google, que foi fundada em 2014. A principal missão da equipe é descobrir vulnerabilidades de dia zero – ou seja, vulnerabilidades que são desconhecidas (ou não abordadas) pela parte que deveria estar interessada em sua mitigação. "Heartbleed" é uma dessas explorações de dia zero, que foi relatado de forma privada por duas equipes de segurança separadas ao OpenSSL. Uma dessas equipes de segurança operava sob o comando do Google e acabou levando à criação do Projeto Zero. O bug foi descoberto em abril de 2014, uma versão do OpenSSL com o bug corrigido foi lançada alguns dias depois, juntamente com a divulgação completa do bug. Esta divulgação completa significou que os sistemas não atualizados imediatamente estavam em risco, embora isso geralmente sirva como uma motivação para as equipes de desenvolvedores atualizarem seus softwares.
Desde então, o Project Zero do Google tem funcionado de maneira semelhante. Quando um bug de dia zero é descoberto, a equipe reporta-o em particular à empresa proprietária do software. A partir da data da divulgação, a empresa tem 90 dias para corrigir o bug. Se eles consertarem antes que o período de 90 dias termine, o Google divulgará detalhes da vulnerabilidade. Se passarem os 90 dias sem que ela seja corrigida, a equipe irá liberar a vulnerabilidade de qualquer maneira, o que tem como objetivo tornar usuários cientes dos problemas que o software que estão usando pode ter, ao mesmo tempo que potencialmente motiva a empresa a trabalhar mais rápido. Há uma falha que os fornecedores percebem neste sistema e, assim como no Heartbleed, é que os usuários (ou desenvolvedores) podem não conseguir atualizar seus sistemas com rapidez suficiente antes de se tornarem vítimas de exploração. Por esse motivo, a equipe do Projeto Zero anunciou que, durante o ano, eles estão testando, aguardando os 90 dias, independentemente da rapidez (ou lentidão) com que a vulnerabilidade seja corrigida.
A política do Google de divulgar bugs em 7 dias se encontrarem evidências de que o bug está sendo explorado não é afetada. Na mesma postagem do blog, a equipe do Project Zero também anunciou uma série de outras pequenas mudanças. O Google também tem o orgulho de anunciar que 97,7% de todos os problemas descobertos são corrigidos no prazo de 90 dias. Você pode ler a postagem completa do blog abaixo.
Fonte: Projeto Zero do Google