La división Project Zero de Google y Microsoft comenzaron el año con un rifirrafe en torno a su política de revelar toda la información sobre los fallos de seguridad que encuentran, incluido cómo aprovecharse de ellos. Microsoft pedía un poco de flexibilidad a la hora de publicarla puesto que en algunas ocasiones no podrían liberar los parches dentro de los 90 días de plazo, y Google dijo que trataban a todo el mundo por igual.
El problema está en que tratar a todas las compañías por igual no siempre es lógico. Liberar información de fallos de un producto que usan 100 personas no es lo mismo que liberar información que afecta a cientos de millones de usuarios. El problema de fondo está en que Microsoft tradicionalmente siempre libera los parches de seguridad el segundo martes de cada mes, y eso puede hacer, como ocurrió en enero, que expiren los 90 días de plazo dados por Google y a los pocos días llegue el parche de seguridad.
Afortunadamente Google ha decidido introducir algunas modificaciones a su política de liberar toda la información de los fallos de seguridad encontrados 90 días después de ser notificados con un periodo de gracia de 14 días. Las compañías que le indiquen a Google que el parche llegará un determinado día dentro de esos 14 días harán que Project Zero no desvela la información hasta que se distribuya el parche.
También no liberarán la información en fin de semana sino en un día laborable posterior, y con un CVE (del inglés Common Vulnerabilities and Exposures, un identificador internacional de vulnerabilidad) debidamente asignado para que se sepa perfectamente de qué vulnerabilidad se trata.
