Google ha deciso di modificare la politica riguardante i tempi di segnalazione pubblica di notizie di bug di sicurezza riscontrati in software di aziende terze dopo gli attacchi di Microsoft ed Apple.
Dopo le pubbliche critiche ricevute da Microsoft ed Apple, Google ha deciso di rivedere la propria politica di divulgazione pubblica relativa ai bug di sicurezza individuati nei software di terze parti: Google concedeva 90 giorni di termine, dalla segnalazione della scoperta di un bug nei confronti degli sviluppatori, prima di divulgare pubblicamente la notizia, ma d’ora in avanti, le aziende terze e gli sviluppatori indipendenti avranno a disposizione altro tempo, per risolvere definitivamente i problemi.
Google Project Zero
Google Project Zero è nato con la volontà di rendere internet e l’informatica un sistema più sicuro e prevede una finestra di 90 giorni dal momento in cui il team scopre una grave vulnerabilità in una applicazione di terze parti e ne segnala la presenza all’azienda, a cui compete rimediare e culmina con una disclosure pubblica della falla; se al termine di questa finestra, l’azienda non si è mossa per tempo, sarà Google stessa a segnalare pubblicamente la presenza del bug scoperto.
Quella che potrebbe sembrare una mossa scorretta da parte di Google nei confronti di aziende concorrenti è in realtà una politica comune a molte società ed un valido rimedio per la rimozione di gravi problemi che potrebbero minare la sicurezza dei dati degli utenti stessi, come Google tiene a sottolineare, mostrando qualche dato utile: ben 154 gravi bug sono stati risolti dopo le segnalazioni private di Project Zero. Di questi 154 bug, l‘85% è stato sistemato nei 90 giorni dalla segnalazione; i 37 problemi individuati in Adobe Flash sono tutti stati risolti entro la scadenza fissata da Google.
Le critiche di Microsoft ed Apple
Nonostante gli ottimi risultati prodotti, il team di sicurezza del Project Zero di Google ha recentemente annunciato alcune modifiche alla sua politica di divulgazione bug, a seguito delle polemiche ricevute per la decisione di esporre i bug di sicurezza riscontrati su software Apple e Microsoft, dopo che le due aziende non hanno rispettato il termine di 90 giorni. La nuova politica del Project Zero prevede un estensione del termine di rimozione dei bug di ulteriori 14 giorni ed esclude i fine settimana ed i giorni festivi, così da fornire alle aziende, maggior tempo per affrontare adeguatamente le vulnerabilità di sicurezza riscontrata nei loro software.
“Ora abbiamo un periodo di estensione di ulteriori 14 giorni: se prima della scadenza del termine di 90 giorni, uno sviluppatore ci segnalerà una data esatta dell’uscita di un fix per un determinato bug, entro i 14 giorni successivi alla normale scadenza, la comunicazione al pubblico sarà ritardata fino alla disponibilità della patch.”
Microsoft non è soddisfatta
Nonostante le modifiche concesse da Big G, Microsoft non si è però dichiarata soddisfatta: “Se è positivo osservare alcune modifiche alle pratiche di disclosure – ha commentato Chris Betz, a capo del Security Response Center di Microsoft – siamo in disaccordo con l’arbitrarietà delle scadenze, perché ogni problema di sicurezza fa storia a sé e i tempi per lo sviluppo e il test di un aggiornamento variano”.