Согласно новым правилам, если в течении семи дней производитель ПО не раскроет информацию об 0day уязвимости, то это сделает Google.
Действующие правила об ответственном раскрытии информации в Google отводили разработчикам срок в 60 дней на устранение обнаруженной уязвимости или же на публикацию рекомендаций о возможных способах защиты.
Отныне ситуация изменится – срок будет уменьшен до семи дней. Причина таких «драконовских» методов состоит в том, что, по мнению Google, активная эксплуатация злоумышленниками критических уязвимостей с каждым днём увеличивает количество жертв.
Первой ласточкой нового срока станет обнаруженная на дня 0day уязвимость в некоем стороннем ПО, если же разработчик не отреагирует на предупреждение корпорации, то скоро Google выложит полную информацию о найденной проблеме в открытый доступ.
В официально блоге, сотрудники Google так объясняют нововведение:
Семь дней – это очень агрессивный срок и некоторые производители попросту не смогут вовремя исправить найденные ошибки и обновить свои программы. Но, не смотря ни на что, такого срока вполне достаточно для того, чтобы сообщить пользователям об угрозе и опубликовать рекомендации о возможных способах защиты, а то и вовсе приостановить доступ к сервису.