Google Project Zero concederà un periodo di grazia di 30 giorni prima di divulgare problemi di sicurezza

Project Zero di Google, un team di ingegneri di sicurezza dedicati incaricati di ridurre il numero di vulnerabilità “zero day” nell’intera Internet, afferma che lo farà dare agli sviluppatori 30 giorni in più prima di rivelare problemi di vulnerabilità, in modo da dare agli utenti finali il tempo di applicare patch al loro software.

Gli sviluppatori avranno ancora 90 giorni per correggere i bug, ma Project Zero attenderà altri 30 giorni prima di rivelare pubblicamente i dettagli del bug. Se un difetto viene sfruttato attivamente in natura, un’azienda avrà sette giorni per rilasciare una patch e un periodo di grazia di tre giorni se richiesto. Ma Google Project Zero aspetterà 30 giorni prima di divulgare i dettagli tecnici.

Nel 2020, Google ha annunciato una versione di prova per consentire agli sviluppatori 90 giorni di lavorare sullo sviluppo e l’adozione di patch, con l’idea che se uno sviluppatore desiderava più tempo per consentire agli utenti di installare una patch, avrebbe spedito le correzioni all’inizio dei 90 giorni periodo. “In pratica, però, noi non lo fece abbiamo osservato un cambiamento significativo nelle tempistiche di sviluppo delle patch e abbiamo continuato a ricevere feedback dai fornitori che erano preoccupati per il rilascio pubblico di dettagli tecnici su vulnerabilità ed exploit prima che la maggior parte degli utenti avesse installato la patch “, ha scritto Tim Willis di Project Zero nel post sul blog. “In altre parole, la tempistica implicita per l’adozione della patch non è stata chiaramente compresa.”

L’obiettivo dell’aggiornamento 2021, ha scritto Willis, è rendere la tempistica di adozione della patch una parte esplicita della sua politica di divulgazione delle vulnerabilità. “Questa politica 90 + 30 offre ai fornitori più tempo rispetto alla nostra politica attuale, poiché passare direttamente a una politica 60 + 30 (o simile) sarebbe probabilmente troppo brusco e dirompente”, ha scritto. “La nostra preferenza è quella di scegliere un punto di partenza che possa essere costantemente soddisfatto dalla maggior parte dei fornitori e quindi ridurre gradualmente sia lo sviluppo delle patch che le tempistiche di adozione delle patch.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *