Código fuente

Google Project Zero, la división de seguridad de élite puesta en marcha por Google para auditar las vulnerabilidades del software, informa en su blog que ha decidido relajar su política. La razón ha sido el cabreo monumental no sólo en Microsoft al ser publicada una vulnerabilidad en Windows 8.1 justo unos días antes de que el parche para el problema fuese publicado, sino también en muchos usuarios.

Recordemos que Project Zero tiene como norma informar sobre el problema a la empresa propietaria del software afectado. Desde ese momento establece un plazo de 90 días antes de hacer público el bug encontrado, según ellos, para que el usuario pueda poner sus propios medios para protegerse si no los pone el desarrollador.

Google Project Zero, las fuerzas de élite de Internet

Se amplía el plazo con 14 días de gracia adicionales

Este plazo no desaparece, sino que se va a hacer más flexible. Se tendrán en cuenta aspectos como si el plazo expira en fin de semana o día festivo, para que la publicación del bug sea haga efectiva en el siguiente día hábil. De igual manera se pretende otorgar un período extra de 14 días consensuado con los desarrolladores. Es decir, que si los analistas de Google saben que el parche puede ser lanzado de manera inminente se aplicará esta prórroga al plazo. El motivo es evitar casos como el sucedido con Microsoft.

Exactamente se refiere a la decisión tomada de la siguiente manera:

Ahora tenemos un período de gracia de 14 días. Si un plazo de 90 días expira per el vendedor nos hace saber antes de la fecha límite que la publicación del parche está programada para un día específico dentro de los 14 siguientes, la divulgación del mismo se retrasará hasta que dicho parche esté disponible. su divulgación ahora sólo se producirá si la demora está prevista que supere las dos semanas.

Desde que Project Zero se puso a trabajar en julio de 2014, han sido varias las polémicas surgidas. No sólo con Microsoft, sino también con Apple y otras empresas.

La cueastión es que casos como el de Jasbug cuyo parche ha tardado en ser publicado en torno a un año, avivan el debate de si es apropiada o no la duración de este plazo. Sin embargo, Google argumenta al respecto que todo el software es tratado por igual y, de hecho, la misma política de seguridad se sigue en Google con productos como Chrome y Android.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?