SÃO PAULO - A chefe de segurança da Mozilla, Window Snyder, criticou as empresas de software de segurança.

Na opinião de Window, estes grupos não têm métodos claros para avaliar falhas de segurança e muitas vezes não comunicam os desenvolvedores de software sobre falhas encontradas antes de publicá-las na web.

Durante palestra sobre segurança online em Washington, Window afirmou que os “caçadores de bugs” nem sempre agem de forma responsável.

“Eles têm todo o poder nas mãos. Decidem o que é uma falha, qual sua gravidade e quanto tempo o fabricante tem para responder a ela”, disse Window.

A chefe de segurança da Mozilla defendeu a criação de parâmetros claros e objetivos para análise e divulgação de bugs, bem como o compromisso de avisar o fabricante e dar-lhe tempo para corrigir o problema.

“Eu acho que um prazo razoável para a solução de bugs é 30 dias. Não afirmo que todas empresas de segurança devem respeitar esse prazo, mas devem ao menos definir um prazo e comunicá-lo ao fabricante do software”, afirma Window.

A engenheira de software afirma que muitas vezes estas empresas acabam fazendo publicidade de falhas de segurança e facilitando a ação de crackers.

No mesmo evento, alguns pesquisadores de falhas de segurança rebateram os argumentos de Window. Para alguns pesquisadores, a divulgação de bugs é uma forma de pressionar os fabricantes a desenvolver patches de correção rapidamente.

Os pesquisadores argumentam ainda que muitas vezes as empresas têm a informação sobre um bug mas simplesmente não desenvolvem uma atualização, por considerar muito caro ou trabalhoso corrigir o problema.