Ingenieros de Facebook gestionan una de las mayores carteras de software del mundo, con decenas de aplicaciones y millones de líneas de código que proporcionan una amplia variedad de servicios a miles de millones de usuarios en todo el mundo.
Encontrar errores de seguridad en esta gigantesca pila de código no siempre es sencillo, pero a través de herramientas de análisis estático desarrolladas internamente como Pysa y Zoncolan, Facebook ha hecho un esfuerzo concertado para encontrar los problemas antes de que lleguen al código de cara al público.
Sin embargo, no se ha revelado mucho sobre lo que sucede cuando los ingenieros de Facebook descubren errores de seguridad dentro de su código.
Obviamente, la vulnerabilidad está parcheada, pero algunos errores son más difíciles de arreglar que otros. Eso es porque no todo el código de Facebook es único. Una gran parte de las aplicaciones de Facebook también es apoyada por pequeñas bibliotecas desarrolladas por terceros.
En los últimos años, Facebook ha encontrado a menudo vulnerabilidades en estos componentes de terceros, que el equipo de seguridad de la compañía siempre ha reportado a sus respectivos dueños.
Sin embargo, no todas las revelaciones han sido del agrado de Facebook. Algunos desarrolladores de bibliotecas han corregido los errores en cuestión de días, mientras que en otros casos, Facebook ha tenido que forzar a las bibliotecas a parchear el código mismo, o desarrollar sus propias alternativas internas.
Una forma en la que Facebook quiere abordar estas problemáticas revelaciones es a través de una nueva política que la compañía tiene la intención de aplicar, desde ahora.
Llamada “política de divulgación de vulnerabilidades”, se trata de un conjunto de reglas que los ingenieros de Facebook planean aplicar cuando informen de las vulnerabilidades que encuentren a terceras entidades.
Según un resumen de estas nuevas reglas, Facebook promete “hacer un esfuerzo razonable para encontrar el contacto adecuado para informar de una vulnerabilidad” a cualquier entidad de terceros.
Después de que se haga el contacto, Facebook dice que proporcionará un informe técnico detallado que describa el fallo, pero si una compañía/desarrollador no reconoce haber recibido este informe dentro de 21 días, sus ingenieros revelarán públicamente los detalles del fallo en línea para que otros usuarios/desarrolladores puedan proteger sus productos.
Los terceros que reconozcan los informes tienen 90 días para arreglar los problemas, que es el plazo estándar no oficial en la comunidad del software que los cazadores de errores dan a las empresas para parchear los fallos de seguridad.
Si bien Facebook podría dar a algunas empresas cierta libertad de acción en este plazo de 90 días, una vez que éste pase, Facebook dice que divulgará públicamente los detalles del fallo y permitirá a los usuarios y a las empresas mitigar el fallo de terceros como consideren oportuno.
La única situación en la que Facebook se hará pública de inmediato es cuando un error en un componente de terceros esté bajo explotación activa. Sin embargo, no todos los días cero, como también se denominan estos errores, serán divulgados de inmediato, sino sólo aquellos casos en los que la divulgación del error ayuda a los usuarios a estar seguros.