Google Project Zero ha deciso di applicare alcune piccole ma importanti modifiche alle proprie regole relative alla diffusione pubblica delle vulnerabilità: la posticiperà di ulteriori 30 giorni in caso di patch sviluppata e in distribuzione dopo il periodo standard di 90 giorni dalla notifica al produttore.
È bene contestualizzare un po’ di cose per chi non segue troppo da vicino le vicende della sicurezza informatica. Project Zero è un team fondato da Google qualche anno fa che si occupa di ricercare falle e vulnerabilità nei software di ogni dispositivo, prodotto, applicazione o servizio web. Project Zero non guarda in faccia al marchio: negli anni ha scoperto vulnerabilità nel software di Google, di Apple, di Microsoft e di tanti altri. Quando ciò accade, la procedura è sempre la stessa:
- la vulnerabilità viene notificata al responsabile dello sviluppo del software
- dopo 90 giorni da questa data, la vulnerabilità viene divulgata pubblicamente. Lo sviluppatore può richiedere, in casi eccezionali, 14 giorni di posticipo per completare la patch.