Avec ses hackers d'élite, Project Zero de Google assouplit sa politique en matière de divulgation de vulnérabilités de sécurité. Le principal changement est qu'il n'y aura pas de publication des détails techniques d'une vulnérabilité pendant 30 jours, si un éditeur la corrige avant la date butoir fixée de 90 jours ou de 7 jours.
Cette période de grâce de 30 jours est destinée à faciliter et permettre l'adoption des correctifs idoines par les utilisateurs finaux. Une opération qui peut prendre plus ou moins de temps, notamment pour des environnements professionnels plus complexes à gérer.
La distinction entre une date butoir de 90 jours ou de 7 jours est déterminée par le fait qu'une vulnérabilité est activement exploitée dans la nature. Le cas échéant, l'éditeur concerné a ainsi 7 jours pour publier un correctif (sans compter un délai de grâce de 3 jours sur demande).
Quoi qu'il en soit, le délai supplémentaire de 30 jours avant la publication de l'ensemble des détails techniques sera bel et bien mis en application à partir du moment où un correctif est disponible. Par rapport à la politique précédente, il y a une décorrélation entre un patch effectif et son adoption.
Reste qu'une politique de divulgation des vulnérabilités est un sujet souvent houleux qui est propice à la controverse. Dans l'absolu, Project Zero maintient la pression pour des corrections après signalement.
