Google Project Zero, il noto team dell’azienda di Mountain View che individua le vulnerabilità zero-day nei software più comuni, ha comunicato le modifiche alla “Disclosure Policy”, ovvero alle linee guida che verranno seguite per la divulgazione dei dettagli. La principale novità rispetto al 2020 è un periodo aggiuntivo di 30 giorni concesso prima della loro pubblicazione.
Nuova Disclosure Policy 90+30
La nuova Disclosure Policy è stata adottata per dare più tempo agli utenti di installare le patch di sicurezza. Finora la divulgazione dei dettagli sulle vulnerabilità zero-day avveniva 90 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Ora invece i dettagli tecnici sono pubblicati dopo 90 giorni, solo se il produttore non ha rilasciato la patch. In caso contrario, Google aspetterà altri 30 giorni a partire dalla data di distribuzione del fix.
Scadenze inferiori se circola già un exploit che sfrutta la vulnerabilità. Finora i dettagli venivano divulgati 7 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Con la nuova policy i dettagli tecnici sono pubblicati dopo 7 giorni, solo se il produttore non ha rilasciato la patch. Se invece il fix viene rilasciato entro 7 gironi, Google aspetterà altri 30 giorni prima di divulgare i dettagli tecnici.
Google ritiene che attualmente il modello 90+30 rappresenti la soluzione ottimale per produttori e utenti. In futuro potrebbe essere cambiato, accorciando le due scadenze. Per il 2022 si prevede ad esempio un modello 84+28.