Google og dets policyer kan være mer eller mindre like oss. Men hvis det er noe som jeg tror var mer enn kritikkverdig, var det hans Project Zero, et team som undersøker all slags programvare for å finne sikkerhetsfeil. Problemet med dette prosjektet var ikke at det ble undersøkt, men at det satte press på selskaper for å fikse feilene ved å publisere dem nesten umiddelbart. Men hvis du har lagt merke til det, snakker vi i fortid.
Google postet hvordan din nye policy vil være. Inntil nå gjorde selskapet til den store søkeren, la meg bruke uttrykket, "hva de ville", som pleide å oversettes til å finne en feil (ahem, fra et konkurrerende selskap, ikke som noen som den er at de holder kjeft), kommuniserte de det til den interesserte og publiserte alle dataene i løpet av timer eller dager. Fra nå av vil de gi tre måneder, eller 90 dager for å være mer nøyaktig, så utviklere har tid til å reparere problemet. Etter den perioden vil de publisere alle detaljene.
Project Zero vær slapp av
Bare i tilfelle begge selskapene (Google og programvareutvikleren) kommer til enighet, vil detaljene bli publisert før de nevnte 90 dagene. Hvis det ikke er noen avtale, spiller det ingen rolle om feilen er løst om 1, 20 eller 90 dager; Google vil legge ut detaljer etter tre måneder.
Project Zero sier det noen utviklere har kontaktet dem for å be om enda mer tidfordi tre måneder kanskje ikke er nok, men Google mener det ikke er nødvendig. I tillegg vil rush motivere dem til å fikse feilene som er funnet, noe som også vil bety at disse sikkerhetsproblemene blir løst før de finner den neste.
Personlig tror jeg dette er gode nyheter for alle. Det var en veldig stygg gest å finne en feil og publisere den så snart, siden den eneste eller mest berørte var brukerne som vi begynte å bruke programvare med minst en offentlig sårbarhet. Endringen vil bli gjort det året vi nettopp gikk inn.