Mundo Tech

Google faz mudanças em programa que visa reduzir vulnerabilidades na internet

Google faz mudanças em programa que visa reduzir vulnerabilidades na internet - 1

Em 2020, o Google vai testar uma pequena mudança no seu Project Zero, criado para tentar tornar a internet e a computação em geral mais segura. Como resultado de um retorno em conversas com desenvolvedores de software, a gigante das buscas resolveu tentar uma pequena mudança na política de 90 dias para publicar uma vulnerabilidade.

Até 2019, a empresa tornava público o problema assim que era corrigido ou 90 dias depois de a companhia responsável ser informada. Agora, mesmo que a falha seja corrigida 20 dias depois do aviso, só será publicamente divulgada passados os 90 dias. Com isso, os desenvolvedores esperam ter mais tempo para analisar se a correção é suficiente, buscando a raiz do problema antes que atacantes possam trocar a estratégia para driblar a solução inicial.

Outro benefício seria de que mais usuários teriam tempo de receber a atualização, o que tornaria a cobertura do problema mais eficaz antes que atacantes fiquem sabendo que tal vulnerabilidade existe e tentem explorá-la. O Google, no entanto, diz que a nova medida é apenas um teste por enquanto.


Feedly: assine nosso feed RSS e não perca nenhum conteúdo do Canaltech em seu agregador de notícias favorito.

Do lado dos desenvolvedores, ficou a promessa de que as correções serão feitas em um tempo mais curto, já que ainda teriam um tempo para avaliar se realmente foi eficaz antes que o problema seja divulgado. A divulgação pode ser feita antes dos 90 dias caso haja consentimento mútuo.

Com isso, o Google ainda aproveita pra automatizar a publicação da vulnerabilidade assim que forem completados os 90 dias. Antes, cada publicação era feita manualmente. Além disso, se houver uma nova correção durante os 14 dias de bandeja que desenvolvedores podem pedir adicionalmente aos 90 dias, a informação será atualizada.

O Project Zero é considerado bem sucedido pelo Google, com 97,7% das correções publicadas dentro do prazo de 90 dias, segundo a empresa. A mudança é uma maneira que a companhia encontrou de tentar melhorar a cooperação entre o projeto e os desenvolvedores.

Trending no Canaltech:

Fonte: Canaltech