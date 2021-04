Google Project Zero, il noto team dell’azienda di Mountain View che individua le vulnerabilità zero-day nei software più comuni, ha comunicato le modifiche alla “Disclosure Policy”, ovvero alle linee guida che verranno seguite per la divulgazione dei dettagli. La principale novità rispetto al 2020 è un periodo aggiuntivo di 30 giorni concesso prima della loro pubblicazione.

Nuova Disclosure Policy 90+30

La nuova Disclosure Policy è stata adottata per dare più tempo agli utenti di installare le patch di sicurezza. Finora la divulgazione dei dettagli sulle vulnerabilità zero-day avveniva 90 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Ora invece i dettagli tecnici sono pubblicati dopo 90 giorni, solo se il produttore non ha rilasciato la patch. In caso contrario, Google aspetterà altri 30 giorni a partire dalla data di distribuzione del fix.

Scadenze inferiori se circola già un exploit che sfrutta la vulnerabilità. Finora i dettagli venivano divulgati 7 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Con la nuova policy i dettagli tecnici sono pubblicati dopo 7 giorni, solo se il produttore non ha rilasciato la patch. Se invece il fix viene rilasciato entro 7 gironi, Google aspetterà altri 30 giorni prima di divulgare i dettagli tecnici.

Google ritiene che attualmente il modello 90+30 rappresenti la soluzione ottimale per produttori e utenti. In futuro potrebbe essere cambiato, accorciando le due scadenze. Per il 2022 si prevede ad esempio un modello 84+28.