O Project Zero é uma equipe do Google encarregada de encontrar vulnerabilidades e relatá-las aos fabricantes. Não é sem controvérsia devido à publicação ocasional de detalhes de vulnerabilidades antes de um patch. Para tanto, o Project Zero acrescentará algum tempo ao seu período de divulgação.
De acordo com as regras antigas, os fornecedores de software tinham 90 dias para lançar um patch a partir do momento em que o Google divulgava uma vulnerabilidade ao fornecedor. Independentemente de ter ou não, revelaria a vulnerabilidade de dia zero ao público, geralmente com detalhes suficientes para que um agente mal-intencionado pudesse usar as informações para criar explorações. Eventualmente, o Google adicionou um período de carência opcional que os fornecedores de software poderiam solicitar se um patch estivesse próximo da conclusão.
Os detratores afirmam que o prazo difícil coloca o público em risco se a empresa estiver trabalhando ativamente em uma solução, mas o problema é complicado o suficiente para não ser resolvido em 90 dias. Outros apontam que algumas empresas podem não estar dispostas a criar um patch sem a janela de hardware. A pressão pública ajuda a convencer o fornecedor de software a agir onde não deveria.
Encontrar esse meio termo é a parte difícil, e o Google diz que fará ajustes para atender às preocupações da comunidade de segurança mais ampla. Em 2021, aguardará mais 30 dias para divulgar detalhes de uma vulnerabilidade se um fornecedor lançar um patch antes do final da janela de 90. A ideia é dar aos usuários tempo para instalar atualizações e protegê-las. No entanto, se um fornecedor solicitar uma janela de tolerância, isso consumirá a janela de atualização de 30 dias.
Isso é para um caso em que o Google não descobriu uma vulnerabilidade que já está sendo ativamente abusada. Antes, quando isso aconteceu, o Google divulgou todos os detalhes dentro de sete dias após a notificação. No futuro, ele divulgará a vulnerabilidade após sete dias, mas aguardará a publicação de detalhes técnicos por mais 30 dias.
Tudo isso se aplica apenas a 2021, porque no próximo ano, o Google planeja encurtar um pouco todas as suas janelas. A partir de 2022, o Project Zero passará para um modelo "84 + 28" – 84 dias para divulgação, mais outros 28 dias para detalhes completos. O Project Zero espera que encurtar as janelas incentive o desenvolvimento de patches mais rápido. divisível por sete reduz a chance de um prazo cair em um fim de semana – quando os fornecedores de software normalmente têm dias de folga.
Fonte: Projeto Zero