cadeado-seguranca

O Project Zero é uma iniciativa do Google para tornar a internet mais segura: uma equipe de pesquisadores se dedica a encontrar falhas de segurança nos softwares de terceiros e notificar os desenvolvedores. A partir daí, os fabricantes têm 90 dias para corrigir a vulnerabilidade. Corrigindo ou não, os detalhes da falha são divulgados publicamente após esse prazo. Isso irritou a Microsoft, e o Google anunciou que vai mudar as regras do programa.

A primeira regra (e mais do que justa) é que, caso o prazo de 90 dias se encerre durante o final de semana ou num feriado dos Estados Unidos, ele será estendido até o próximo dia útil. A outra é que as empresas terão um tempo extra: se o prazo acabar, mas uma correção já estiver programada para ser lançada em 14 dias, o Google não irá divulgar os detalhes publicamente — isso, claro, caso o fabricante avise com antecedência.

Essa última regra deve beneficiar especialmente a Microsoft. Uma falha do Windows 8.1 foi encontrada e relatada pelo Google no dia 13 de outubro de 2014. Sem correção, o Google publicou os detalhes do bug no dia 12 de janeiro de 2015. O problema é que a Microsoft tem um ciclo de atualizações definido: as correções são liberadas na segunda terça-feira do mês. E essa data caía em… 13 de janeiro de 2015.

Em sua defesa, o Google diz que outras empresas possuem práticas semelhantes: o CERT divulga a falha 45 dias após informar os desenvolvedores, o Yahoo oferece o mesmo prazo de 90 dias e a Zero Day Initiative dá 120 dias. A ideia é que, ao impor um tempo, as fabricantes sejam mais ágeis para corrigir suas vulnerabilidades. O Google também informou que seus produtos, incluindo o Chrome e o Android, estão sujeitos ao mesmo prazo.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.