Depois de revelar antes da hora informações sobre brechas no Windows e no OS X, a equipe de pesquisadores de segurança do Google anunciou mudanças no Project Zero. Agora, em vez de divulgar dados sobre vulnerabilidades após 90 dias, o grupo de hackers agirá de forma menos automática e dará alguns dias a mais para desenvolvedores corrigirem falhas – desde que, é claro, algumas condições sejam atendidas.

Segundo texto publicado no blog do projeto, os prazos serão estendidos caso os responsáveis pelo software vulnerável especifiquem uma data para a liberação de um update e indiquem que estão trabalhando nas correções. A medida deve evitar que casos como os da Microsoft – que divulga patches sempre às terças-feiras – se repitam, e que dados sobre brechas sejam publicadas um ou dois dias antes das correções.

Porém, esse “Grace Period”, como chamou o Google, não passará de 14 dias. Caso a divulgação de um update esteja marcada para mais de duas semanas após o prazo final, as informações relacionadas à vulnerabilidade serão publicadas no repositório de código normalmente após os 90 dias de costume.

O prazo também será estendido caso o limite caia em um fim de semana ou em um feriado norte-americano. Nesses casos, as empresas responsáveis pelos softwares terão até o próximo dia útil para publicar as atualizações com as correções necessárias.

Os 90 dias estabelecidos pelo Project Zero para falar publicamente de vulnerabilidades parecem drásticos, mas a medida é seguida por outras equipes de pesquisadores. A Zero Day Initiative, por exemplo, segue uma política mais branda de 120 dias, mas o CERT é ainda mais rígido e trabalha com apenas 45 dias.