El gigante de Mountain View ha cedido a la presión de las empresas y usuarios y decidieron agregar 14 días de gracia al periodo para liberación de bugs.
Project Zero ha levantado polémicas discusiones en las redes sociales por su estricta política de liberación de las fallas descubiertas. Muchas empresas también han levantado la voz diciendo que no es un comportamiento que proteja a los usuarios, que son los mas afectados al liberarse bugs sin parchar.
Entonces existe el debate: ¿Es responsable por parte de Google liberar un Bug que no ha sido parchado solo porque se cumplió el plazo establecido? Recordemos que este Martes 10 de Febrero Microsoft libero una actualización que corregía una falla grave de su sistema operativo. Falla que tuvo a su personal técnico trabajando durante mas de un año, pues la misma fue reportada en Enero del 2014. Claro, esto no es algo que ocurre todos los días. Es una falla sin precedentes y con un nivel de complejidad muy elevado, pero precisamente para esos casos, existe lo que llaman Coordinated Vulnerability Disclosure, o revelado de vulnerabilidades coordinado, lo cual Google, claramente, no está tomando en cuenta.
Debido a toda la presión ejercida por los comentarios negativos hacia el proyecto, han decidido flexibilizar un poco su esquema, agregando 14 días de gracia si es que la empresa no ha podido publicar el parche antes de los 90 días. Aunque Google se reserva el derecho de otorgar estos 14 días solo en caso de que la vulnerabilidad sea muy grave. Ademas, han excluido los días feriados y fines de semana de las fechas para liberación. Esto quiere decir que si el día de liberación es un fin de semana o un feriado legal en Estados Unidos, la publicación se realizará en el próximo día hábil.
Google espera que esta medida aliviane un poco la polémica que ha causado Project Zero en las redes sociales, aunque sigue defendiendo su plazo de 90 justificando que la mayoría de los bugs reportados han sido resueltos en menor tiempo que el plazo establecido. También indica, que aunque estableció los 14 días de gracia, se reserva el derecho de extender o retrasar estos tiempos de acuerdo al tipo de vulnerabilidad descubierta.
Según explican, todas las compañías serán tratadas por igual, ya que se encuentran en la cola para ser publicadas, bugs de Android y Chrome.
Fuente: Blog Project Zero
