谷歌的Project Zero現在正在考慮如何公開安全漏洞

谷歌的Zero項目網絡安全團隊正在試行一項新政策，即在一項修復措施發(fā)布后，它不會盡早公開安全漏洞。“默認情況下滿90天，不管什么時候修復bug”是團隊的新政策，在決定是否永久采用之前，它將試用一年。

在舊系統(tǒng)下，Zero項目的研究人員將給供應商90天的時間來解決一個問題，然后再將問題公之于眾。然而，如果在該90天窗口內發(fā)布補丁，它將及早披露漏洞。這可能是一個問題，因為這意味著用戶必須在黑客利用漏洞之前匆忙修補漏洞。一個漏洞可能會被公司修復，但如果補丁沒有被廣泛采用，那就無所謂了。

因此，現在，無論一個補丁是發(fā)出20天還是90天后，零項目使供應商意識到問題，它仍將等待90天，以使問題公開。不過，也有一些例外。一個是當兩家公司之間有“相互協(xié)議”提前披露時，Zero項目也可能將截止日期延長14天，如果供應商需要更長的時間來拼湊一個補丁。在野外被利用的脆弱性的七天期限將保持不變。

除了給補丁更多的時間被采納，Zero項目說，它希望新的政策將提高一致性，讓供應商更好地了解何時將漏洞公之于眾。它還說，它渴望看到更多的迭代和徹底的補丁發(fā)布，這要歸功于供應商現在在最初發(fā)布補丁和它解決的漏洞被公開之間的時間。

盡管發(fā)生了這些變化，但Zero項目團隊表示，他們對其披露期到目前為止的運作方式感到大致滿意。在2014年，當團隊開始工作時，它說蟲子有時在被發(fā)現六個月后沒有被修復?，F在，在它所發(fā)現的問題中（其中有很多），它說97.7%是在它的90天窗口內修補的。