Amplía 14 días el plazo si el fabricante avisa que está por publicar el parche de seguridad a la divulgación de vulnerabilidades del software.
Proyecto Zero es el equipo de expertos de seguridad en Google dedicados a encontrar fallos de seguridad en el software.
Las vulnerabilidades de seguridad son reportadas al fabricante del software afectado, quien dispone de un plazo de 90 días para publicar el parche de seguridad o la vulnerabilidad será hecha pública.
Recientemente Microsoft ha expresado molestias con los expertos de Proyecto Zero debido a la divulgación de vulnerabilidades en Windows cuando estaba cerca de la publicación del parche oficial. Tras ello Google ha cambiado su política de divulgación de vulnerabilidades:
- Si el plazo de 90 días expira en un fin de semana o día festivo entonces la divulgación ocurrirá hasta el siguiente día normal de trabajo.
- Si el fabricante del software cuya vulnerabilidad fue descubierta comunica que en los siguientes 14 días a la expiración del plazo de 90 días ha sido programada la publicacíón del parche de seguridad entonces Google retrasará la divulgación pública hasta la disponibilidad del parche.
- Si el plazo de 90 días expira la vulnerabilidad será hecha pública y Google garantiza que tenga asignada una identificación CVE.
Sin embargo, Google se reserva el derecho de ampliar o reducir el plazo y confirma su compromiso de tratar a todos los fabricantes de software por igual, incluido el software de Google.