Project Zero è un team di Google incaricato di trovare le vulnerabilità e segnalarle ai produttori. Non è senza polemiche a causa della pubblicazione occasionale dei dettagli delle vulnerabilità prima di una patch. A tal fine, Project Zero aggiungerà del tempo al suo periodo di divulgazione.
Secondo le vecchie regole, i fornitori di software avevano 90 giorni per rilasciare una patch da quando Google ha rivelato una vulnerabilità al fornitore. Indipendentemente dal fatto che lo facesse o meno, rivelerebbe al pubblico la vulnerabilità zero-day, spesso con abbastanza dettagli da consentire a un cattivo attore di utilizzare le informazioni per creare exploit. Alla fine, Google ha aggiunto un periodo di grazia opzionale che i fornitori di software potrebbero richiedere se una patch era quasi completata.
I detrattori affermano che la dura scadenza mette a rischio il pubblico se l’azienda sta lavorando attivamente a una soluzione, ma il problema è abbastanza complicato da non poter essere risolto in 90 giorni. Altri sottolineano che alcune aziende potrebbero essere riluttanti a creare una patch senza la finestra rigida. La pressione dell’opinione pubblica aiuta a convincere il fornitore di software ad agire dove altrimenti non potrebbe.
Trovare quella via di mezzo è la parte difficile e Google afferma che apporterà modifiche per affrontare le preoccupazioni della più ampia comunità di sicurezza. Nel 2021 attenderà altri 30 giorni per rivelare i dettagli di una vulnerabilità se un fornitore rilascia una patch prima della fine della finestra di 90. L’idea è di dare agli utenti il tempo di installare gli aggiornamenti e proteggerli. Tuttavia, se un fornitore richiede una finestra di tolleranza, ciò intaccherà la finestra di aggiornamento di 30 giorni.
Questo è per un caso in cui Google non ha scoperto una vulnerabilità già oggetto di un abuso attivo. Prima di quando ciò accadeva, Google ha divulgato tutti i dettagli entro sette giorni dalla notifica. In futuro, rivelerà la vulnerabilità dopo sette giorni, ma attenderà la pubblicazione dei dettagli tecnici per altri 30 giorni.
Tutto ciò vale solo per il 2021 perché il prossimo anno Google prevede di accorciare leggermente tutte le sue finestre. A partire dal 2022, Project Zero passerà a un modello "84 + 28": 84 giorni per la divulgazione, più altri 28 giorni per i dettagli completi. Project Zero spera che l’abbreviazione delle finestre incoraggerà uno sviluppo più rapido delle patch. Suggerisce inoltre di passare a giorni divisibile per sette riduce la possibilità che una scadenza cada in un fine settimana, quando i fornitori di software in genere hanno giorni liberi.
Fonte: Progetto Zero