2015/02/16

Google vai ser ligeiramente mais tolerante na divulgação de falhas de segurança


O Project Zero do Google foi criado para encontrar vulnerabilidades em todo o tipo de sistemas e pressionar os seus responsáveis a corrigi-las em tempo útil, e recentemente tem sido criticado por divulgar vulnerabilidades indiscriminadamente no fim do prazo dos 90 dias. Agora, o Google fez algumas alterações que vêm responder a isso.

A divulgação das vulnerabilidades ao fim de 90 dias irritou a Microsoft, quando o Google revelou algumas vulnerabilidades que foram corrigidas apenas alguns dias mais tarde (depois do prazo). Agora, o Google vem mostrar que não quer parecer intransigente, e diz que embora a grande maioria dos casos tenha realmente sido resolvida sem incidentes antes do prazo limite, que poderão haver casos que justificam um pouco mais de tempo.

Isto significa que o prazo dos 90 dias passará a considerar se o dia de revelação calha num feriado ou fim-de-semana (em cujo caso será adiado para o dia útil seguinte); e os visados poderão solicitar um adiamento de até 14 dias caso tenham uma actualização a caminho.

Ficará assim resolvido o problema das acusações de que o Google é "insensível" e que revelava as falhas mesmo quando eram necessários apenas mais uns poucos dias; mas isto será sempre uma situação excepcional. É que o próprio Google indica que dependendo da seriedade do problema, nada os impede de que possam até adiantar a data de revelação da vulnerabilidade, no caso de circunstâncias excepcionais que o justifiquem.

1 comentário:

  1. Alguém tem que se mexer, lembram-se do que o Steve Jobs fez com o Flash?
    A situação é parecida, se alargarmos prazos ou tolerarmos demasiado, os updates só vêm cá para fora tarde e mal, ou nunca... Ultimamente têm-se descoberto bugs, seja Windows ou Linux já com uns bons aninhos (ghost, por exemplo).

    ResponderEliminar