谷歌 Project Zero 团队宣布新政策 漏洞披露前将有完整的90天缓冲期

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知，但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候，谷歌安全团队试图制定新的政策，将问题披露的宽限期给足了整整 90 天。即便如此，谷歌还是对过去五年的政策表现感到满意，指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。

相比之下，2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后，谷歌还是决定在 2020 年做出一些改变。

那些易被曝光漏洞的企业，将被给予默认 90 天的缓冲时间，而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复，也可以与谷歌 Project Zero 取得联系，以提前公布漏洞详情。

● 厂家在 20 天内修复了 bug？谷歌将在第90天公布漏洞详情；

● 厂家在 90 天内修复了 bug？谷歌也将在第 90 天公布漏洞详情！

当然，在争取推动“更快的补丁开发”流程的同时，Project Zero 还希望全面提升补丁程序的采用率。

1. 现有政策下，谷歌希望供应商能够快速开发补丁，并制定适当的流程，以将之交付给最终客户，我们将继续紧迫地追求这一点。
2. 然而有太多次，供应商只是简单的记录了漏洞，而不考修改或从根本上修复已曝光的漏洞。有鉴于此，Project Zero 团队希望推动更快的补丁开发，以防别有用心者轻易地向用户发动大大小小的攻击。
3. 改进后的新政策指出，发现漏洞之后，最终用户的安全性不会就此得到改善，直到 bug 得到适当的修复。只有最终用户意识到相关 bug，并在他们的设备上实施了修补，才能够从漏洞修复中得到益处。

最后，在新政策转入“长期实施”之前，Google 将给予 12 个月的试用。

（稿源：cnBeta，封面源自网络。）