google (Getty Images)
Da Redação
Publicado em 16 de fevereiro de 2015 às 08h53.
Depois de revelar antes da hora informações sobre brechas no Windows e no OS X, a equipe de pesquisadores de segurança do Google anunciou mudanças no Project Zero. Agora, em vez de divulgar dados sobre vulnerabilidades após 90 dias, o grupo de hackers agirá de forma menos automática e dará alguns dias a mais para desenvolvedores corrigirem falhas desde que, é claro, algumas condições sejam atendidas.
Segundo texto publicado no blog do projeto, os prazos serão estendidos caso os responsáveis pelo software vulnerável especifiquem uma data para a liberação de um update e indiquem que estão trabalhando nas correções. A medida deve evitar que casos como os da Microsoft que divulga patches sempre às terças-feiras se repitam, e que dados sobre brechas sejam publicadas um ou dois dias antes das correções.
Porém, esse Grace Period, como chamou o Google, não passará de 14 dias. Caso a divulgação de um update esteja marcada para mais de duas semanas após o prazo final, as informações relacionadas à vulnerabilidade serão publicadas no repositório de código normalmente após os 90 dias de costume.
O prazo também será estendido caso o limite caia em um fim de semana ou em um feriado norte-americano. Nesses casos, as empresas responsáveis pelos softwares terão até o próximo dia útil para publicar as atualizações com as correções necessárias.
Os 90 dias estabelecidos pelo Project Zero para falar publicamente de vulnerabilidades parecem drásticos, mas a medida é seguida por outras equipes de pesquisadores. A Zero Day Initiative, por exemplo, segue uma política mais branda de 120 dias, mas o CERT é ainda mais rígido e trabalha com apenas 45 dias.