Project Zero de Google está probando una nueva forma de persuadir a los proveedores de software para que solucionen las vulnerabilidades de seguridad rápidamente, al tiempo que permite a los usuarios finales instalar actualizaciones. A primera vista, el nuevo enfoque puede parecer absurdo: debería informarse al público más tarde que antes. Pero Google pensó algo al respecto.
El equipo «Project Zero» de Google monitorea las vulnerabilidades y errores en el software propio de Google y el software desarrollado por otras compañías. El equipo de seguridad envía cualquier interrupción de seguridad directamente al proveedor. Los editores de software tienen 90 días para corregir errores. Hasta el momento, Google lo ha anunciado al público después de 90 días. Hasta ahora, Google ya ha liberado las vulnerabilidades explotadas por los atacantes después de siete días.
Nuevo enfoque
Por no explotar seriamente las vulnerabilidades Actualmente, Google sigue ofreciendo a los autores 90 días Hora. Si no brindan ninguna reprimenda dentro de ese tiempo, se notificará al público de inmediato. Sin embargo, si hay un enlace, Google espera 30 días para que la actualización esté disponible antes de que las vulnerabilidades se hagan públicas. Por lo tanto, el viento puede tardar hasta 120 días en llegar al público.
Los proveedores de software pueden solicitar 14 días adicionales al Plan Zero. Aun así, después de 120 días, el Consejo de Seguridad se hará público. Sus versiones de fondo, la pregunta básica de quién se beneficiará más de los usuarios o atacantes. La pregunta está desactualizada y no se puede responder a nivel mundial.
Plazos cortos para riesgos graves
De las rupturas de seguridad severamente explotadas, Google ofrece a los proveedores solo siete días. Los profesores de software pueden solicitar una extensión de tres días. Si no hay solución, Google inmediatamente se hace público.
Sin embargo, si hay una solución dentro de los siete días, Google seguirá esperando 30 días. Por lo tanto, Google puede tardar hasta 37 días en informar a las personas sobre las vulnerabilidades explotadas.
Con el tiempo, Project Zero quiere reducir gradualmente la fecha límite para alentar a los proveedores a entregar actualizaciones de seguridad rápidas. Por ejemplo, 90 + 30 días pueden cambiar a 60 + 30 días. Sin embargo, primero, el enfoque del proyecto evaluará las implicaciones del nuevo enfoque.
(ds)
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
