[NEWS] Google concede 7 giorni per correggere i bug

[c.m.g]

venerdì 31 maggio 2013

Spoiler:

Quote: Mountain View annuncia una nuova policy per la diffusione dei dettagli sulle falle individuate nei software della concorrenza. Un modo, dice, per spingere tutti a cautelarsi in fretta

Roma - Contro il logorio delle vulnerabilità di sicurezza dei software, Google prende una posizione decisa e unilaterale stabilendo il limite massimo entro il quale i dettagli sulle falle saranno tenuti riservati: dopo 7 giorni, sostiene BigG sul blog aziendale, le informazioni sui bachi dei software della concorrenza verranno resi noti a utenti, ricercatori e sviluppatori per permettere lo sviluppo di contromosse o misure mitiganti efficaci.

Mountain View giustifica la presa di posizione unilaterale con la scoperta recente di attacchi pensati per sfruttare la falla 0-day di un software della concorrenza: un incidente non isolato e che ha sempre visto Google impegnata a comunicare l'esistenza del baco allo sviluppatore o all'azienda interessati.

Ma per quanto riguarda le vulnerabilità "critiche", dice ora Google, i tempi di sviluppo di una patch risolutiva possono risultare fatali agli utenti dei software fallati. L'esperienza suggerisce dunque che per i bug critici siano necessarie azioni più urgenti: la pubblicazione dei dettagli sulle falle a 7 giorni dalla scoperta dovrebbe garantire maggiore consapevolezza da parte dell'utenza e mettere le ali ai piedi agli sviluppatori interessati a sviluppare una patch.

Con i dettagli della vulnerabilità noti, questo il ragionamento di Mountain View, i ricercatori possono studiare meglio il problema e fornire consigli su come gli utenti possano mettersi al sicuro dai pericoli. Google concede che alcuni vendor non sono in grado di risolvere - per un motivo o per un altro - un problema al codice in appena una settimana, nondimeno in 7 giorni è possibile mettere a punto un fix temporaneo o consigli appositi per i loro clienti.

Con la nuova policy Mountain View dà l'impressione di voler decidere per gli altri i tempi e le modalità di gestione dei problemi di sicurezza nel software per computer, una posizione che certamente non piacerà a chi come Microsoft pubblica i suoi bollettini di sicurezza una volta al mese e sarà d'ora in poi costretta a fronteggiare l'ennesimo motivo di scontro con Google. In fatto di vulnerabilità e sicurezza i rapporti tra le due aziende non è mai stato roseo.

Alfonso Maruccia






Fonte: Punto Informatico