Project Zero de Google, un equipo de ingenieros de protección dedicados a la tarea de reducir la cantidad de vulnerabilidades de "día cero" en todo Internet, dice que proporcionará a los desarrolladores más de 30 días antes de revelar los problemas de vulnerabilidad, con el fin de brindar a los usuarios finales tiempo para parchear su software.
No obstante, los desarrolladores tendrán noventa días para restaurar los errores, sin embargo, Project Zero esperará otros 30 días antes de que revele los puntos importantes del caballo de Troya públicamente. Si se está explotando activamente una falla en la naturaleza, una agencia tendrá siete días para poner en dificultad un parche, y un período de gracia de tres días si así lo solicita. Pero Google Project Zero esperará 30 días antes de que revele los detalles técnicos.
En 2020, Google introdujo una prueba para permitir a los desarrolladores trabajar durante noventa días en la mejora y adopción de parches, con la idea de que si un desarrollador deseaba más tiempo para permitir a los clientes implementar un parche, enviaría las correcciones a principios de los 90 días. período. “Sin embargo, en el ejercicio, no examinamos un gran cambio en los cronogramas de mejora de parches, y persistimos en recibir comentarios de los proveedores de que estaban preocupados por la publicación pública de puntos técnicos importantes sobre vulnerabilidades y exploits antes de que la mayoría de los clientes establecieran el parche ”, escribió Tim Willis de Project Zero en la publicación del weblog. "En otras palabras, el cronograma implícito para la adopción de parches no se entendió realmente".
La intención de la actualización de 2021, escribió Willis, es hacer que el cronograma de adopción del parche sea una sección específica de su política de divulgación de vulnerabilidades. “Esta cobertura 90 + 30 ofrece a los proveedores más tiempo que nuestra póliza moderna, ya que saltar directamente a una cobertura 60 + 30 (o similar) probablemente sería demasiado abrupto y perturbador”, escribió. “Nuestra elección es elegir un factor inicial que pueda cumplirse de manera persistente mediante el uso de la mayoría de los proveedores, y luego disminuir regularmente los plazos de adopción y mejora de cada parche.