O Facebook anunciou uma mudança na sua política a qual possibilitará à empresa notificar desenvolvedores em caso de vulnerabilidades de segurança encontradas em códigos de terceiros.
Embora pareça algo incomum, o Facebook (assim como muitas outras empresas) depende de uma quantidade colossal de códigos de terceiros e bibliotecas de código aberto — as quais estão sujeitas a falhas.
Em uma publicação no seu blog anunciando a mudança, o Facebook disse que “pode ocasionalmente encontrar bugs críticos e vulnerabilidades em códigos e sistemas de terceiros”.
Quando isso acontecer, nossa prioridade é ver esses problemas resolvidos prontamente, ao mesmo tempo em que nos certificamos de que as pessoas afetadas sejam informadas para que possam se proteger ou atualizar seus sistemas.
Nesse sentido, o Facebook explicou que, ao encontrar uma vulnerabilidade, dará aos desenvolvedores 21 dias para responderem à notificação e 90 dias para corrigi-las; nesse período, a empresa está tecnicamente “proibida” de divulgar publicamente as falhas.
Não obstante, o Facebook poderá publicar detalhes sobre as falhas antes desse período se elas estiverem sendo “ativamente explorada por crackers”, bem como adiar essa divulgação “se for necessário um prazo maior para corrigir um problema”.
Vale notar que o Facebook já notificou desenvolvedores sobre vulnerabilidades em apps anteriormente, mas a mudança de política formaliza essa prática.
Além disso, essa política concentra-se especificamente em como o Facebook lida com a divulgação de problemas em códigos de terceiros. Se pesquisadores de segurança ou desenvolvedores encontrarem uma vulnerabilidade de segurança no Facebook ou em algum dos seus outros apps/serviços, ainda será necessário relatar tudo por meio do programa de recompensa Whitehat.
via TechCrunch