Project Zero relaja sus políticas de publicación de vulnerabilidades

Escrito por Rubén Velasco
Seguridad
0

Project Zero es un grupo de hackers pertenecientes a Google que buscan mejorar la seguridad del software que los usuarios utilizan día a día con el fin de que estos puedan hacer un uso de Internet mucho más seguro y fiable frente a las crecientes amenazadas que día a día aparecen en la red. Este grupo ha sido duramente criticado por las grandes compañías como Microsoft y Apple al hacer publicar vulnerabilidades antes de ser solucionadas, exponiendo tanto a los usuarios como a la propia compañía.

Este grupo de hackers que forman Project Zero busca posibles vulnerabilidades en el software y, una vez las detecta, notifica a las compañías correspondientes para que las solucionen en un plazo máximo de 90 días. Si tras dicha fecha la vulnerabilidad no ha sido solucionada, estos piratas la hacen pública en la red a través de Google Code. Microsoft ha sido la compañía que más ha criticado a este grupo debido a que, en una de las últimas publicaciones, la vulnerabilidad se hizo pública pocos días antes de lanzar la actualización programada para el “martes de parches”. Tras dicha vulnerabilidad, se publicaron dos más que también comprometían a la compañía y obligaron al lanzamiento de parches de emergencia.

google project zero main foto

Tras las críticas, Google ha afirmado que Project Zero va a aplicar una serie de medidas de relajación en su política de publicación de vulnerabilidades. Esto no implica que se vaya a eliminar el plazo de 90 días para la solución de vulnerabilidades, sino que se va a dar cierto margen en determinadas ocasiones, por ejemplo, ampliar los días si cae en festivo o si la compañía ya tiene programadas las actualizaciones para una fecha determinada esperar hasta la misma con un máximo de 14 días.

Esta noticia ha sido bien recibida por las desarrolladoras de software que podrán seguir recibiendo la ayuda de este grupo y poder llegar a un acuerdo de publicación de los correspondientes parches de seguridad que, hasta ahora, no había opción a negociar. Sin duda los primeros beneficiarios serán los propios usuarios, que no se verán expuestos ante vulnerabilidades de día-cero permitiendo a las compañías lanzar sus parches para las vulnerabilidades antes de que estas puedan ser explotadas.

¿Qué opinas de la ampliación del margen de publicación de vulnerabilidades por parte de Project Zero?

Fuente: AdslZone