Segurança

Google muda forma de divulgação das vulnerabilidades de segurança

O prazo para publicar os relatórios da equipe do Project Zero passa a ser de 90 dias completos

Avatar do(a) autor(a): André Luiz Dias Gonçalves

12/01/2020, às 21:00

Google muda forma de divulgação das vulnerabilidades de segurança

Fonte:

Imagem de Google muda forma de divulgação das vulnerabilidades de segurança no tecmundo

Google informou mudanças na política de divulgação das falhas de segurança descobertas pela equipe do Project Zero, dando mais prazo aos desenvolvedores antes de publicar seus relatórios. A novidade foi anunciada no blog oficial do projeto, na última terça-feira (7).

Segundo a companhia de Mountain View, será respeitado um prazo de 90 dias completos para a divulgação de relatórios referentes às vulnerabilidades relatadas a partir de 1º de janeiro de 2020, independente de quando o bug foi corrigido, seja com dois ou 80 dias após a sua descoberta.

Pela política anterior, os pesquisadores do Project Zero estabeleciam um limite máximo de 90 dias para que os desenvolvedores corrigissem o erro antes de torná-lo público. E se um patch de correção fosse lançado antes disso havia a divulgação antecipada do bug, o que poderia resultar em riscos para quem não atualizasse a aplicação num primeiro momento.

Desenvolvedores terão mais tempo para consertar bugs. (Fonte: Unsplash)

Com a mudança, a Google espera acelerar o desenvolvimento de patches de segurança e contribuir para aumentar a proteção dos usuários, dificultando os ataques que usam as vulnerabilidades de dia zero (tipo de falha em que o fornecedor sabe da sua existência mas não tem uma solução imediata).

Exceções poderão acontecer

O novo prazo poderá não ser cumprido em determinados casos, segundo a Google. A companhia informa que se for de comum acordo entre o Project Zero e o desenvolvedor poderá acontecer a divulgação do relatório antes do fim dos 90 dias.

Esta antecipação poderá ocorrer, por exemplo, nos casos em que o fornecedor queira sincronizar a abertura do relatório da equipe de cibersegurança com as suas notas de versão para evitar confusão e minimizar as dúvidas dos usuários.

A nova política de divulgação dos relatórios do Project Zero será testada durante os próximos 12 meses e depois disso a equipe analisará os resultados para verificar se ela continuará sendo adotada.

Essa não é uma matéria patrocinada. Contudo, o TecMundo pode receber uma comissão das lojas, caso você faça uma compra.


Avatar do(a) autor(a): André Luiz Dias Gonçalves

Por André Luiz Dias Gonçalves

Especialista em Redator

Jornalista formado pela PUC Minas, escreve para o TecMundo e o Mega Curioso desde 2019.