专门探究各种零时差漏洞的Google Project Zero本周公布2021年的漏洞披露政策,若企业在90天内修补了漏洞,那么Project Zero团队将会再提供30天的修补缓冲期,以让用户有充裕的修补时间,之后才会公开漏洞的技术细节,但倘若企业未能于90天内修补,那么该团队在90天后就会直接公开漏洞细节。
原本Project Zero的漏洞披露政策如下:对于尚未被开采的漏洞,企业必须在90天内修补,或是额外争取14天的宽限期,期限一到,不管有没有修补完成,该团队都会公开漏洞细节;而对于已被开采的漏洞,企业则必须在7天内修补,期限一到不管有无修补都会公开漏洞细节,且无宽限期。
新版的漏洞披露政策对于尚未修补的漏洞所采取的措施跟旧版一样,都是在90天或7天之后就会公开漏洞细节,但对于已于90天及7天内修补的漏洞,Project Zero将会额外提供30天的修补缓冲期,之后才会公开漏洞细节。
新政策同样允许企业针对未被开采的漏洞争取14天的宽限期,并放宽对已开采漏洞的规定,允许企业要求3天的宽限期。但这些宽限期将会挤压修补缓冲期的空间,例如假设未被开采的漏洞花了100天才修补完成,那么修补缓冲期就只剩20天,代表Project Zero团队无论如何都会在120天之后公布漏洞细节。
其实Project Zero团队一直想缩短企业的修补时间,加速漏洞的披露时间,因为该团队相信漏洞分析对安全社群的重要性超过披露风险,此次的变更是纳入了外界的意见,再加上期望获得最佳的用户安全而来。
不过,Project Zero也预告,明年可能会改成84天的企业修补期限,以及28天的用户修补缓冲期。