Google Project Zero Testa Transparência em Relatórios para Reduzir Lacunas de Correção em 2025

Google Project Zero Anuncia Teste de Transparência em Relatórios para Combater Lacunas de Correção

Mountain View, CA – Julho de 2025 – O Google Project Zero, liderado por Tim Willis, anunciou uma nova política experimental de Transparência em Relatórios com o objetivo de reduzir a "lacuna de correção upstream" — um atraso crítico no processo de remediação de vulnerabilidades. Esta iniciativa busca acelerar a entrega de correções de segurança aos usuários finais, aprimorando a transparência entre fornecedores upstream e dependentes downstream.

Detalhes Principais da Atualização da Política

Sob o atual modelo de divulgação 90+30, os fornecedores têm 90 dias para resolver uma vulnerabilidade antes da divulgação pública, com um período adicional de 30 dias para adoção da correção, caso o patch seja lançado antecipadamente. O novo teste introduz um sistema de notificação pública antecipada:

• Dentro de uma semana após o relato de uma vulnerabilidade, o Project Zero divulgará publicamente:
  • O fornecedor ou projeto de código aberto que recebeu o relatório.
  • O produto afetado.
  • A data de registro do relatório e o prazo de divulgação de 90 dias.

O Google Big Sleep, uma colaboração entre o Google DeepMind e o Project Zero, também adotará esta política. Os relatórios de vulnerabilidades serão acompanhados por meio do rastreador de issues do Google Big Sleep.

Abordando a Lacuna de Correção Upstream

A lacuna de correção upstream refere-se ao atraso entre a liberação de uma correção pelo fornecedor upstream e a integração dessa correção pelos dependentes downstream em seus produtos. Essa lacuna prolonga significativamente o ciclo de vida da vulnerabilidade, deixando os usuários finais expostos mesmo após a disponibilização de um patch.

"Para o usuário final, uma vulnerabilidade não é corrigida quando um patch é lançado do Fornecedor A para o Fornecedor B; ela só é corrigida quando o usuário baixa e instala a atualização", explicou Willis. "Para encurtar essa cadeia, precisamos abordar o atraso upstream."

Objetivos e Impacto Esperado

O principal objetivo do teste de Transparência em Relatórios é:

• Aumentar a transparência, fornecendo sinais antecipados aos dependentes downstream sobre vulnerabilidades upstream.
• Incentivar canais de comunicação mais robustos entre fornecedores para acelerar o desenvolvimento e a adoção de patches.
• Permitir o acompanhamento público do tempo que as correções levam para chegar aos usuários finais, especialmente se nunca chegarem.

O Project Zero antecipa que este teste fomentará um ecossistema de segurança mais proativo, reduzindo, em última análise, a janela de exposição para vulnerabilidades críticas.

Implicações de Segurança e Resposta da Indústria

Embora o teste possa inicialmente chamar a atenção pública para vulnerabilidades não corrigidas, o Project Zero enfatiza que nenhum detalhe técnico, código de prova de conceito ou informação que possibilite exploração será divulgado antes do prazo de divulgação. A política foi projetada para servir como um mecanismo de alerta, não como um roteiro para atacantes.

"Acreditamos que os benefícios de uma política justa, simples e transparente superam o risco de inconveniência para um pequeno número de fornecedores", afirmou Willis. "Em 2025, a mera existência de vulnerabilidades em software não deve ser surpreendente nem alarmante. Os usuários finais estão mais conscientes das atualizações de segurança do que nunca, e é amplamente aceito que sistemas complexos terão vulnerabilidades."

Próximos Passos e Monitoramento

Como um teste, o Project Zero monitorará de perto os efeitos da política e fará ajustes conforme necessário. O objetivo final é criar um ecossistema mais seguro, onde as vulnerabilidades sejam corrigidas não apenas nos repositórios upstream, mas nos dispositivos, sistemas e serviços utilizados diariamente pelos usuários finais.

Profissionais de segurança e fornecedores são incentivados a fornecer feedback conforme o teste avança. Para mais detalhes, visite a página de Transparência em Relatórios do Project Zero.