A Project Zero – equipe de cibersegurança do Google que busca falhas nos softwares de outras empresas – mudou sua política de divulgação de vulnerabilidades e agora respeitará o prazo total de 90 dias antes de publicar seus relatórios. Com a nova postura, a iniciativa espera contribuir melhor com desenvolvedores na proteção dos usuários.

Antes da resolução, quando uma vulnerabilidade era descoberta, os pesquisadores do projeto estabeleciam um limite de 90 dias para que os fornecedores corrigissem o problema antes de torná-lo público. Porém, se um patch fosse lançado dentro desse tempo, a falha era publicada pelo projeto mais cedo.

Esse comportamento representava um risco na medida em que nem todos os usuários atualizavam suas aplicações nesse primeiro momento – o que os deixava suscetíveis a hackers que poderiam explorar as falhas divulgadas pelo próprio Project Zero. “Estamos constantemente considerando se nossas políticas são do interesse da segurança do usuário e acreditamos que essa alteração seja mais um passo na direção certa”, escreveu o gerente do projeto, Tim Willis, no blog oficial.

O executivo disse que a política antiga serviu ao seu objetivo principal: acelerar o desenvolvimento de patches. “Queremos tornar os ataques usando explorações de ‘dia zero’ mais difíceis. Fazemos isso através de pesquisas ostensivas sobre vulnerabilidades e estudos sobre como os verdadeiros atacantes se comportam (…) Na época em que o Projeto Zero foi iniciado, em 2014, alguns problemas levavam mais de seis meses para serem corrigidos”, lembra Willis.

Após cinco anos de aplicação do prazo de divulgação de 90 dias, o executivo diz estar orgulhoso dos resultados. “Vimos grandes melhorias na rapidez com que os fornecedores corrigem vulnerabilidades graves, e agora 97,7% de nossos relatórios de vulnerabilidades são corrigidos dentro de 90 dias”, completa.

Existirão exceções. Se for de comum acordo entre o fornecedor e o Projeto Zero, os relatórios de erros poderão ser abertos ao público antes de decorridos 90 dias. “Por exemplo, se um fornecedor deseja sincronizar a abertura do nosso relatório com suas notas de versão para minimizar a confusão e dúvidas entre os usuários”, explica o gerente.

A nova política será adotada por 12 meses e depois a equipe irá considerar se a alteração continuará no longo prazo.

Via The Verge e Project Zero Blog