L’obiettivo dell’iniziativa Project Zero messa in campo da Google è stato fin dal primo momento quello di consentire agli sviluppatori di porre rimedio a falle e vulnerabilità scovate in software, applicazioni e servizi online prima che gli exploit vengano resi noti mostrando così il fianco all’azione dei malintenzionati.
Google Project Zero: 90 giorni prima di svelare gli exploit
Oggi il suo team annuncia un aggiornamento della policy relativa alle tempistiche per la diffusione delle informazioni a proposito dei punti deboli del codice. Il nuovo termine è fissato in 90 giorni anche se il fix viene rilasciato prima, non importa quanto: una settimana, uno o due mesi, non fa differenza.
La speranza è quella di veder meno patch incomplete distribuite pur di non farsi trovare impreparati quando scade il conto alla rovescia e di evitare che rendendo noti gli exploit subito dopo il rilascio dei fix ci si possa trovare a dover fare i conti con ulteriori problemi legati a un rimedio non del tutto efficace. Capita infatti talvolta che la toppa sia peggio del buco.
Rimane in ogni caso a disposizione degli sviluppatori il cosiddetto grace period (periodo di grazia) di ulteriori 14 giorni nel caso in cui si rendesse necessario un lasso di tempo aggiuntivo per confezionare una versione della patch completa e priva di bug. Il nuovo approccio verrà adottato in fase sperimentale da qui alla fine del 2020, raccogliendo feedback necessari a valutarlo, per poi eventualmente applicarlo in modo definitivo.