O Google e suas políticas podem mais ou menos gostar de nós. Mas se há algo que eu acho que era mais do que questionável, era o dele Project Zero, uma equipe que investiga todos os tipos de software para encontrar falhas de segurança. O problema com este projeto não era que ele investigava, mas que pressionava as empresas a corrigir os bugs, publicando-os quase imediatamente. Mas se você notou, estamos falando no passado.
Google publicado como será sua nova política. Até agora, a empresa do grande motor de busca, deixe-me usar a expressão, fazia "o que quisessem", que costumava se traduzir em encontrar uma falha (aham, de uma empresa rival, não como alguns como é que se calem), comunicam ao interessado e publicam todos os dados em questão de horas ou dias. A partir de agora eles vão dar três meses, ou Dia 90 para ser mais exato, para que os desenvolvedores tenham tempo para reparar o problema. Após esse tempo, eles publicarão todos os detalhes.
Projeto Zero, relaxe
Somente no caso de ambas as empresas (Google e o desenvolvedor do software) chegarem a um acordo, os detalhes serão publicados antes dos 90 dias mencionados. Se não houver acordo, não importa se a falha for resolvida em 1, 20 ou 90 dias; o Google postará detalhes depois de três meses.
Projeto Zero diz que alguns desenvolvedores os contataram para pedir ainda mais tempo, porque três meses podem não ser suficientes, mas o Google acha que não é necessário. Além disso, a pressa vai motivá-los a corrigir os bugs encontrados, o que também significa que esses problemas de segurança sejam corrigidos antes de encontrar o próximo.
Pessoalmente, acho que são boas notícias para todos. Foi um gesto muito feio encontrar um bug e publicá-lo tão cedo, já que os únicos ou mais afetados foram os usuários que estávamos começando a usar software com pelo menos uma vulnerabilidade pública. A alteração será feita no ano em que acabamos de entrar.