Il “security team” di Google ha riaperto la discussione su un tema divenuto, negli ultimi tempi, decisamente scottante. Secondo gli esperti del colosso di Mountain View, 60 giorni sarebbero da considerarsi come il termine ultimo per il rilascio di una patch da parte di un qualunque produttore software. Il “conto alla rovescia” dovrebbe partire dal momento i cui una vulnerabilità viene responsabilmente segnalata in forma privata.
“Abbiamo notato che molti produttori invocano il principio della <<responsible disclosure>> delle vulnerabilità per prendersi più tempo” scrivono i tecnici di Google.
Il post apparso sul blog ufficiale di Google riporta anche la firma di Tavis Ormandy, membro del “security team” dell’azienda fondata da Larry Page e Sergey Brin, il cui operato era stato, da più parti, ampiamente criticato.
Ormandy, infatti, aveva deciso di rendere pubblici i dettagli tecnici di una pericolosa vulnerabilità scoperta in Windows XP e Windows Server 2003 (ved. questa notizia). Il ricercatore aveva motivato la sua azione con l’intento di voler spronare Microsoft a sanare prima possibile la problematica di sicurezza. La lacuna di sicurezza è stata poi sanata con il rilascio di un aggiornamento “ad hoc”, durante l’ultimo “patch day”.
Da Google si sostiene che il termine ultimo di 60 giorni dovrebbe essere considerato come una sorta di “punto di non ritorno”, a partire dal quale chi avesse scoperto una falla (segnalata al vendor in forma privata) è autorizzato a svelarne i dettagli. D’ora in poi, l’azienda di Mountain View intende seguire tale approccio pur riconoscendo di non essere riuscita, talvolta, in passato, a raggiungere l’obiettivo.
Una presa di posizione, quella di Google, destinata certo a non passare inosservata.