Project Zero è il programma di Google che va alla ricerca di bug e malfunzionamenti in software che, per la maggiore, non sono di proprietà di Google.
L’intenzione dichiarata è quella di creare un nuovo standard di sicurezza, obbligando i concorrenti alla risoluzione della mancanza entro 90 giorni dalla segnalazione.
Una vera spina nel fianco per tutti quelli che si son visti illuminare dalla luce del progetto, i quali hanno avuto 90 giorni (non uno di più) per risolvere i problemi del proprio software, pena pubblica gogna con la pubblicazione delle specifiche del bug, e Google ha ampiamente dimostrato di non aver pietà in trascorsi episodi di cui vi abbiamo già riferito notizia.
Per fortuna Google ha deciso di allentare un po’ i lacci, aggiungendo una minima tolleranza alle deadline di Project Zero.
“Siamo in disaccordo con queste deadline arbitrarie, in quanto ogni problematica di sicurezza è unica ed i tempi di sviluppo, testing e rilascio degli aggiornamenti variano. Quando si pubblica un codice con tanto di proof-of-concept dell’exploit, o altre informazioni, prima che la soluzione sia messa in atto, il rischio di attacchi contro i clienti è solo incrementato”
Così parlava Chris Betz, senior director del Security Response Center di Microsoft.
E come non dargli torto, ma è vero anche che talvolta certe falle rimanevano lì in attesa di esser risolte per anni e anni, finché qualche software malevolo non iniziava a girare sfruttando proprio quella falla che a quel punto andava tappata (alla bene e meglio).
A Microsoft ovviamente brucia, in quanto è stata colpita duramente da Project Zero, a Gennaio scorso, quando furono rese pubbliche delle vulnerabilità in Windows a soli 2 giorni dal rilascio pubblico della patch, cosa di cui Google era a conoscenza. La patch fu rilasciata come al solito con il ciclo di update di “Patch Tuesday”, il martedì dell’aggiornamento. Assolutamente inutile l’operato di Google che, al massimo, ha reso vulnerabili gli utenti al bug in questione.
Google pertanto ha deciso di modificare il proprio regolamento interno: la deadline dei 90 giorni salterà weekend e feste, pertanto se la data di scadenza cadrà in uno di questi giorni sarà rimandata al primo giorno lavorativo disponibile.
Non è tutto, se il produttore dichiarerà di aver pianificato il rilascio della patch entro 14 giorni dalla deadline dei 90 giorni, allora Google rimanderà la scadenza.
Un’apertura di Google che può solo farci piacere, perché mirare alla qualità non vuol dire per forza far giocare alle proprie regole.