Скорошното
решение от страна на Google да намали драстично срока, в който разкриват подробности за откритите от тях уязвимости в софтуера на външни разработчици, може да нанесе сериозни щети като принуди фирмите, които доставят обновления и "кръпки" за незапушените уязвимости да пускат въпросните обновления преди да са преминали качествено тестване. Това твърди Брайън Горенц (Brian Gorenc) завеждащ програмата по компютърна безопасност Zero Day Initiative (ZDI) към Hewlet Packard.
"Когато говорим за големи организации, този седемдневен срок е непосилен", обяснява той. "На тях им е нужно да се сдобият с проби от експлойта и с промените, които прави". Той се страхува, че в резултат на това може да се окаже, че компанията е излязла с обновление, което създава конфликти и проблеми с производителността на платформите или софтуера, което от своя страна ще подкопае доверието на потребителите в разработчиците в един по-дългосрочен план. Самите HP и по-специално ZDI са определили 180 дни за запушването на уязвимости намерени в софтуера им, като този срок се отнася главно за неизползвани уязвимости.
При разкриването на промените в политиката си относно разгласяването на откритите уязвимости Google признават, че в някои случаи този срок може да е недостатъчен, но той стига, за да може компанията да разгласи откритата в своя софтуер уязвимост, като даде препоръки за временно решение - спирането на дадена услуга или ограничаване на правомощията на въпросният уязвим софтуер.
Независимо от позицията на HP, и двете компании споделят мнението, че е нужно компаниите да ускорят темпа, с който запушват откритите уязвимости по сигурността на софтуера им. За Горенц важно ще е тези компании да променят начина, по който си взаимодействат със специалистите по сигурност и изследователите, които откриват тези уязвимости и им съобщават за тях.
