El equipo de seguridad de Google Project Zero ha actualizado su política de divulgación de vulnerabilidades para incluir un nuevo período de gracia de 30 días para dar a los usuarios más tiempo para instalar parches antes de que los detalles técnicos de una vulnerabilidad se compartan en línea.
Anteriormente, Project Zero daría a los proveedores de software 90 días para abordar una vulnerabilidad y divulgaría la información técnica sobre la falla cuando se solucione, o cuando finalice el período de divulgación de 90 días, independientemente de si la vulnerabilidad fue reparada.
De acuerdo con las nuevas pautas, aunque el período de divulgación de 90 días permanece intacto, el equipo esperará 30 días antes de compartir los detalles técnicos de una vulnerabilidad que ha sido parcheada dentro de los plazos de 90 o 7 días (para un día cero). En caso de vulnerabilidades de día cero, los proveedores pueden solicitar un período de gracia de 3 días, explicó el líder del equipo de Project Zero, Tim Willis.
Si un error no se soluciona al final del período de divulgación de 90 o 7 días, los detalles técnicos se publicarán de inmediato.
“El objetivo de la actualización de nuestra política de 2021 es hacer que el cronograma de adopción de parches sea una parte explícita de nuestra política de divulgación de vulnerabilidades. Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches.
Esta política 90 + 30 les da a los proveedores más tiempo que nuestra política actual, ya que saltar directamente a una política 60 + 30 (o similar) probablemente sería demasiado abrupto y perturbador. Nuestra preferencia es elegir un punto de partida que la mayoría de los proveedores puedan cumplir de manera consistente, y luego reducir gradualmente los plazos de desarrollo y adopción de parches ”, escribió Willis.
El equipo también está considerando pasar a un modelo "84 + 28" para 2022, períodos de tiempo divisibles por siete, por lo que los plazos de divulgación no caerán accidentalmente los fines de semana.
“Si bien la política 90 + 30 será una ligera regresión desde la perspectiva de la publicación rápida de detalles técnicos, también estamos señalando nuestra intención de acortar nuestro plazo de divulgación de 90 días en el futuro cercano. Anticipamos reducir lentamente el tiempo de parcheo y acelerar la adopción de parches en los próximos años hasta que se alcance un estado estable ”, dijo Willis.
https://googleprojectzero.blogspot.com/2021/04/policy-and-disclosure-2021-edition.html
https://www.cybersecurity-help.cz/blog/2053.html
