Google muda forma de divulgação das vulnerabilidades de segurança

A Google informou mudanças na política de divulgação das falhas de segurança descobertas pela equipe do Project Zero, dando mais prazo aos desenvolvedores antes de publicar seus relatórios. A novidade foi anunciada no blog oficial do projeto, na última terça-feira (7).

Segundo a companhia de Mountain View, será respeitado um prazo de 90 dias completos para a divulgação de relatórios referentes às vulnerabilidades relatadas a partir de 1º de janeiro de 2020, independente de quando o bug foi corrigido, seja com dois ou 80 dias após a sua descoberta.

Pela política anterior, os pesquisadores do Project Zero estabeleciam um limite máximo de 90 dias para que os desenvolvedores corrigissem o erro antes de torná-lo público. E se um patch de correção fosse lançado antes disso havia a divulgação antecipada do bug, o que poderia resultar em riscos para quem não atualizasse a aplicação num primeiro momento.

Com a mudança, a Google espera acelerar o desenvolvimento de patches de segurança e contribuir para aumentar a proteção dos usuários, dificultando os ataques que usam as vulnerabilidades de dia zero (tipo de falha em que o fornecedor sabe da sua existência mas não tem uma solução imediata).

Exceções poderão acontecer

O novo prazo poderá não ser cumprido em determinados casos, segundo a Google. A companhia informa que se for de comum acordo entre o Project Zero e o desenvolvedor poderá acontecer a divulgação do relatório antes do fim dos 90 dias.

Esta antecipação poderá ocorrer, por exemplo, nos casos em que o fornecedor queira sincronizar a abertura do relatório da equipe de cibersegurança com as suas notas de versão para evitar confusão e minimizar as dúvidas dos usuários.

A nova política de divulgação dos relatórios do Project Zero será testada durante os próximos 12 meses e depois disso a equipe analisará os resultados para verificar se ela continuará sendo adotada.