El equipo de investigadores de seguridad informática Proyecto Cero de Google cambiará sus propias reglas para revelar vulnerabilidades este año, según fuentes en línea.
Según las nuevas normas, la información sobre las vulnerabilidades descubiertas no se hará pública hasta transcurrido el plazo de 90 días. Independientemente de cuándo los desarrolladores resuelvan el problema, los representantes de Project Zero no divulgarán información al respecto. Las nuevas normas entrarán en vigor este año, tras lo cual los investigadores evaluarán la viabilidad de su implementación permanente.
Anteriormente, los investigadores de Project Zero daban a los desarrolladores de software 90 días para corregir las vulnerabilidades descubiertas. Si se publicaba un parche que corrigiera los errores antes de esta fecha límite, la información sobre la vulnerabilidad se haría pública. Los investigadores creían que esto era inapropiado, ya que en muchos casos los usuarios tenían que apresurarse a instalar las actualizaciones para evitar ser víctimas de los atacantes. Un desarrollador podía corregir la vulnerabilidad, pero esto era irrelevante si el parche no se había distribuido ampliamente.
Por lo tanto, independientemente de si la solución se publica 20 o 90 días después de que Project Zero notifique al desarrollador del problema, la información sobre la vulnerabilidad solo se hará pública después de 90 días. Hay algunas excepciones. Por ejemplo, si investigadores y desarrolladores llegan a un acuerdo, el plazo para solucionar el problema puede extenderse 14 días. Esto es posible si los desarrolladores de software necesitan más tiempo para crear un parche. El plazo de siete días para corregir vulnerabilidades ya explotadas por atacantes se mantendrá sin cambios.
Los investigadores de Project Zero señalan que, desde su creación, la calidad de su trabajo en la corrección de vulnerabilidades descubiertas ha mejorado. Por ejemplo, en 2014, cuando se estableció el proyecto, a veces las vulnerabilidades permanecían sin corregir incluso seis meses después de su descubrimiento. Actualmente, el 97,7 % de las vulnerabilidades descubiertas son corregidas por los desarrolladores en un plazo de 90 días.
Fuente: 3dnews.ru
