Google ha deciso di modificare le policy riguardanti la diffusione di notizie di bug riscontrati in software di aziende terze ma Microsoft non è per nulla contenta
Il mese scorso Google Project Zero ha diffuso la notizia di un pericoloso bug all’interno di Windows 8.1. La fin troppo tempestiva pubblicazione della falla da parte di Big G ha creato un certo malcontento in Microsoft, che ha formalmente attaccato l’azienda di Mountain View. A seguito di queste polemiche, il colosso del web, che insieme a Mattel ha lanciato il nuovo Viewer Master, ha annunciato che rivedrà le proprie policy di rivelazione pubblica dei bug riscontrati in software di terze parti.
Google cambia le policy per la disclosure dei bug ma Microsoft non ci sta
Google solitamente diffonde pubblicamente la notizia della scoperta delle falle dopo 90 giorni dalla prima segnalazione ma in alcuni casi concederà una proroga. Big G, che il 20 aprile chiuderà la chat di Helpouts, fornirà un codice CVE per identificare in modo univoco il bug e terrà conto di festività e fine settimana. La disclosure avverrà il giorno feriale successivo alla scadenza e sarà concesso all’azienda colpita dalla falla di posticipare la diffusione della notizia di 14 giorni in caso di sviluppo di un’apposita patch. Google dal canto suo ha sottolineato che il suo sistema di segnalazioni ha permesso di risolvere l’85% dei bug entro 3 mesi dalla prima segnalazione e si riserva il diritto di contravvenire alla proroga “sulla base di circostanze estreme”.
Nonostante le concessioni di Big G, Microsoft, che si è accordata con Samsung sulle licenze di Android, non è però per niente soddisfatta. “Se è positivo osservare alcune modifiche alle pratiche di disclosure – ha commentato Chris Betz, a capo del Security Response Center di Microsoft – siamo in disaccordo con l’arbitrarietà delle scadenze, perché ogni problema di sicurezza fa storia a sé e i tempi per lo sviluppo e il test di un aggiornamento variano”.
