El año pasado, concretamente durante el mes de Julio, se anunció el nacimiento de Google Project Zero, una iniciativa de seguridad de Google para auditar en busca de vulnerabilidades en aplicaciones de otros fabricantes, incluyendo en esta lista software libre y software de código cerrado. El año pasado fue especialmente vertiginoso en términos de seguridad informática, todavía convulso por las revelaciones de todos los hackeos provenientes de la NSA, la aparición de fallos como Heartbleed, ShellShock, Poodle o el resto de bugs en software...
Comentarios
Los irresponsables son los fabricantes que no han proporcionado un parche en 3 meses. Google da tiempo de sobra para ello, el CERT por ejemplo tiene un límite de 45 días para publicar los bugs: http://www.cert.org/vulnerability-analysis/vul-disclosure.cfm? y no veo que nadie les esté criticando.
Y recordemos que Project Zero también ha publicado bugs de otros productos como Linux o Flash y no se ha montado tanto jaleo, más que nada porque los arreglaron en menos de 90 días.
Lo irresponsable es dejar un bug de seguridad 90 días activo sin hacer nada, porque puede ser que el único que lo sepa sea Google o puede ser que no, está muy bien decir que no es crítico y que no afecta seriamente, es tu producto y tu mejor que nadie debe saberlo, pero entonces no te molestes cuando se publique.
#1 De hecho, lo más probable es que no sea Google el único que lo sabe. Si Google no avisa, seguiremos ignorando que tenemos un agujero que están usando hackers de cualquier parte del mundo.