Project Zero è un team di Google composto da esperti di sicurezza il cui compito è quello di cercare vulnerabilità Zero Day nelle applicazioni e servizi sviluppati sia da terzi sia da Google stessa. Quando viene trovato un bug o una falla, lo sviluppatore viene immediatamente contattato e ha 90 giorni per risolvere il problema.

Passati i 90 giorni senza che sia stata pubblicata una opportuna patch correttiva, un sistema automatizzato procede a rendere pubblica la vulnerabilità ed il codice dell’exploit. I dati statistici in possesso del team mostrano come la maggior parte dei problemi vengono risolti entro il periodo concesso, mentre una piccola parte riceve la patch necessaria pochi giorni dopo la scadenza.

Per cercare di venire incontro agli sviluppatori, Google ha leggermente ammorbidito la propria posizione, concedendo un ulteriore “periodo di grazia” di 14 giorni. Se lo sviluppatore informa Google che la patch sarà disponibile entro 14 giorni dalla deadline iniziale, la divulgazione della vulnerabilità verrà prorogata fino al rilascio della patch. Inoltre se la scadenza avverrà nel fine settimana o durante una festività (calendario USA), la scadenza verrà prorogata al primo giorno lavorativo utile.

Via