Google Project Zero establece un plazo de 90 días por defecto antes de divulgar una vulnerabilidad
MADRID, 8 (Portaltic/EP)
Project Zero, la división de seguridad de Google, ha iniciado un periodo de doce meses de prueba para su nueva política de divulgación de riesgos detectados, por la que establece un plazo de 90 días al margen del momento en que se corrijan y se distribuya un parche.
Las vulnerabilidades identificadas a partir del 1 de enero de 2020 se regirán por nuevas normas recogidas en las políticas de divulgación de Project Zero, como explica en un comunicado en su blog oficial.
Así, si en 2019 la división de seguridad publicaba la información de la vulnerabilidad a los 90 días de identificarse o cuando el error fuera corregido, cualquiera que supusiera menos tiempo, en 2020 se ha establecido un plazo de 90 días por defecto, "independientemente de cuándo se solucionó el error".
Aunque es posible una divulgación previa si así se acuerda con los desarrolladores, este plazo por defecto significa que no desvelarán las vulnerabilidades hasta que se cumplan 90 días, se corrija el fallo en el día 20 o 90 de este periodo.
Este cambio forma parte de una prueba que Project Zero ha iniciado, y que se desarrollará a lo largo de todo el presente año, con el objetivo de que la interacción entre la compañía y los desarrolladores permita el desarrollo de parches más rápido, el desarrollo completo de los mismos y una adopción mejorada.
Project Zero nació en 2014, y durante cinco años "el equipo ha utilizado su política de divulgación de vulnerabilidades para centrarse en un objetivo principal: el desarrollo de parches más rápido", como señalan en el comunicado.
"Si los parches tardan mucho en desarrollarse y desplegarse", explican, "se introducen más errores de los que los proveedores pueden solucionar y se requiere un esfuerzo hercúleo para que todo vuelva a la normalidad".
Con los cambios introducidos, desde Project Zero esperan que los desarrolladores "tengan incentivos para parchear más rápido, ya que los parches más rápidos les permitirán tiempo adicional para la adopción de parches", al tiempo que "mejore la coherencia de nuestro proceso de divulgación".