4月17日，谷歌Project Zero安全團隊更新了漏洞披露政策，這次更新將會為用戶新增30天時間來進行漏洞修補，然后再披露漏洞相關(guān)技術(shù)細節(jié)以避免攻擊者利用漏洞進行攻擊。

漏洞披露政策變化

最新漏洞披露政策亮點

(1) “90+30”模式

谷歌 Project Zero 的最新漏洞披露政策采取了“90+30”模式，即供應商有90天時間進行補丁開發(fā)，另外還有30天時間來進行補丁采用。額外增加的 30 天時間能夠讓受影響產(chǎn)品的用戶有時間更新他們的軟件。

(2) 特殊漏洞，額外“+3”天

此前，Project Zero會給公司 7 個自然日的時間來修補任何被主動利用的漏洞(0day)，然后才會在網(wǎng)上公布該漏洞的詳細信息。

現(xiàn)在，0day除了同樣適用于30天的緩沖期外，公司還可以在原來的7天披露期限上再申請增加3天，以便在一些特殊情況下，給公司更多的時間來創(chuàng)建補丁。

政策調(diào)整主要原因

谷歌表示，此前曾有公司抱怨用戶應用補丁時缺乏足夠的緩沖時間，因為在一些復雜的企業(yè)網(wǎng)絡中，更新軟件打補丁需要幾天或幾周的時間。新更新的模式將打補丁的時間和采用補丁的時間脫鉤，為用戶提供了更多的時間去適應。

不過這個模式并不會持續(xù)很長時間。谷歌表示，因為考慮到如果直接采用“60+30”或者類似的模式，可能會太過突然和混亂，所以他們決定采用一個大多數(shù)廠商可以持續(xù)滿足的起點，然后逐步降低補丁開發(fā)和補丁采用的時間。

Project Zero安全團隊還計劃在2022年采用“84+28”的模式，即能夠讓截止日期被7整除，從而降低截止日期在周末的可能性。

目前，網(wǎng)絡安全社區(qū)的很多人都采用Project Zero的規(guī)則來作為向軟件供應商以及公眾披露漏洞的非官方方案。隨著此次更新，想必眾多漏洞披露政策也會進行同步更新，用戶可以擁有更多的時間去安裝和適應補丁。