Google Project Zero: nuova policy 90+30

Google Project Zero: nuova policy 90+30

Il team Project Zero di Google darà altri 30 giorni di tempo per l''installazione delle patch, prima di pubblicare i dettagli delle vulnerabilità.
Il team Project Zero di Google darà altri 30 giorni di tempo per l''installazione delle patch, prima di pubblicare i dettagli delle vulnerabilità.

Google Project Zero, il noto team dell'azienda di Mountain View che individua le vulnerabilità zero-day nei software più comuni, ha comunicato le modifiche alla “Disclosure Policy”, ovvero alle linee guida che verranno seguite per la divulgazione dei dettagli. La principale novità rispetto al 2020 è un periodo aggiuntivo di 30 giorni concesso prima della loro pubblicazione.

Nuova Disclosure Policy 90+30

La nuova Disclosure Policy è stata adottata per dare più tempo agli utenti di installare le patch di sicurezza. Finora la divulgazione dei dettagli sulle vulnerabilità zero-day avveniva 90 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Ora invece i dettagli tecnici sono pubblicati dopo 90 giorni, solo se il produttore non ha rilasciato la patch. In caso contrario, Google aspetterà altri 30 giorni a partire dalla data di distribuzione del fix.

Scadenze inferiori se circola già un exploit che sfrutta la vulnerabilità. Finora i dettagli venivano divulgati 7 giorni dopo la pubblicazione del report iniziale, indipendentemente da quando il bug veniva risolto. Con la nuova policy i dettagli tecnici sono pubblicati dopo 7 giorni, solo se il produttore non ha rilasciato la patch. Se invece il fix viene rilasciato entro 7 gironi, Google aspetterà altri 30 giorni prima di divulgare i dettagli tecnici.

Google Project Zero Disclosure Policy 2021

Google ritiene che attualmente il modello 90+30 rappresenti la soluzione ottimale per produttori e utenti. In futuro potrebbe essere cambiato, accorciando le due scadenze. Per il 2022 si prevede ad esempio un modello 84+28.

Link copiato negli appunti

Ti potrebbe interessare

16 04 2021
Link copiato negli appunti