Per i bug in Google Chrome è disponibile il tracker dei problemi di Chromium . I bug di sicurezza sono inviati e risolti su questo sistema proprio come i normali bug. La differenza è che sono contrassegnati con speciali etichette di sicurezza delineati qui . Ad esempio, l'etichetta Restrict-View-SecurityTeam
manterrà un segreto bug tra il reporter e il team di sicurezza di Chromium.
is it disclosed immediately to the general public, or is it kept a secret until it is patched?
I bug inviati tramite il tracker dei problemi verranno solitamente rivelati automaticamente qualche tempo dopo la correzione del bug. Attendere che una patch sia disponibile è chiamata disclosure responsabile e una condizione preliminare per partecipare a Programma di ricompensa delle vulnerabilità di Chrome .
If the former, are all the details of the vulnerability usually disclosed?
Poiché la descrizione del bug e i commenti e le azioni degli sviluppatori sono visibili attraverso il ticket del bug, di solito sarà possibile ottenere tutte le informazioni sul problema una volta che è stato reso pubblico. Poiché Chrome è un progetto open source, anche le modifiche al codice sorgente sono pubblicamente disponibili e spesso è persino possibile decodificare problemi di sicurezza fissi a seguito di modifiche al codice.
Spetta al ricercatore che ha trovato il bug se vuole rivelare il bug in modo responsabile attraverso il tracker con la prospettiva di ricevere un premio o venderlo altrove (es. ZDI ). Potrebbero anche decidere di renderlo pubblico immediatamente ("full disclosure").