软餐(ruancan.com)获悉,谷歌的 “零号项目”(Project Zero)团队宣布了其披露安全漏洞方式的一项重大变更。
自启动以来,“零号项目”(Project Zero)严格遵守 90 天的披露期限。即在发现漏洞后,“零号项目” 团队将等待 90 天才公开记录技术细节,这将使软件提供商可在攻击者利用漏洞之前修复漏洞。
现在,“零号项目”(Project Zero)正在测试 2021 年的新模型,该模型将为软件开发商提供额外一个月的时间。
在此前,关于漏洞的技术文档会在 90 天的最后期限过后立即披露,无论软件开发商是否发布了修复补丁。而在新模型中,如果软件开发商在 90 天内解决了修复了问题,则技术文档将在修复后 30 天内披露。
谷歌表示,新的 90+30 天政策旨在使补丁的采用成为披露计划的明确组成部分。这意味着软件开发商将有 90 天的时间开发修复补丁,并有 30 天的时间向用户发布补丁。
正被积极利用的野外漏洞仍拥有为期 7 天的披露期限,无论问题是否得到解决,谷歌都会在第 7 天时发布披露信息。但现在,如果漏洞在 7 天内获得修复,谷歌将在修复后 30 天内发布技术详细信息。而且,开发者还可以为这种漏洞请求 3 天的宽限期,这是此前没有的。
谷歌 “零号项目”(Project Zero)团队表示,上述新政策与先前的立场略有不同,后者优先考虑迅速向公众发布技术细节。但同时该团队指出,这项宽松的政策不会坚持太久,因为他们希望在不久的将来缩短披露期限。该团队暗示,他们可能会在 2022 年改用 84+28 天模型。