Quando a Google criou o Project Zero pretendia ter uma forma de criar uma comunidade e uma forma de investigar problemas de segurança nos mais variados elementos da Internet.
A sua utilidade é mais que clara, mas os problemas surgiram quando a Google, de forma indiferenciada, resolveu seguir as suas regras e anunciou ao mundo vulnerabilidades antes de estas estarem resolvidas.
Para evitar situações destas e para dar mais tempo aos programadores para resolverem os bugs de segurança, os prazos de anuncio foram alargados, em situações particulares.
As mudanças que a Google agora implementou no Project Zero pretendem dar alguma margem adicional aos programadores para resolverem as situações de problemas que forem encontradas e que estão a ser resolvidas.
Este problema surgiu recentemente com o lançamento a público de algumas vulnerabilidades associadas a sistemas operativos que estavam a ser corrigidas.
O lançar para a Internet destas falhas permite que qualquer atacante mal intencionado possa estudá-las e usá-las de forma não legal, quer para atacar computadores ou simplesmente para roubar dados dos utilizadores.
A Google e os elementos do Project Zero apenas se limitaram a seguir as regras que estabeleceram e que dão noventa dias para que os problemas sejam resolvidos, depois destes terem sido reportados às entidades que gerem os serviços ou os softwares.
Os recentes casos, que envolveram a Apple e a Microsoft, mostraram que as empresas nem sempre conseguem tratar dos problemas no prazo dado e por isso a Google tem agora algumas mudanças nos timmings que definiu.
As novas regras definidas dão agora 14 dias adicionas a todos os programadores que informem a Google que estão a trabalhar no problema reportado e que não vão conseguir lançar a sua correcção no prazo de 90 dias dado pela Google.
Esta extensão de tempo teria sido suficiente para que a Microsoft não tivesse o seu problema do Windows 8.1 exposto e possível de ser explorado. A solução acabou por sair apenas dois dias depois.
Os prazos da Google são o que a empresa entende serem os aceitáveis para estes tipos de situações, sendo suficientes para que os programadores e as empresas responsáveis corrijam as falhas.
Outras entidades conseguem dar outros tempos aos programadores, mas sempre em tempos aproximados a estes. Existem casos em que são dados 120 dias e outros em que estes se limitam a 45.
Estas alterações da Google, que se vão aplicar em situações pontuais e bem identificadas, garantem agora que os problemas não são expostos dias antes de serem anunciadas as soluções que os corrigem e que eliminam os problema de segurança.