谷歌的Zero项目网络安全团队正在试行一项新政策,即在一项修复措施发布后,它不会尽早公开安全漏洞。“默认情况下满90天,不管什么时候修复bug”是团队的新政策,在决定是否永久采用之前,它将试用一年。
在旧系统下,Zero项目的研究人员将给供应商90天的时间来解决一个问题,然后再将问题公之于众。然而,如果在该90天窗口内发布补丁,它将及早披露漏洞。这可能是一个问题,因为这意味着用户必须在黑客利用漏洞之前匆忙修补漏洞。一个漏洞可能会被公司修复,但如果补丁没有被广泛采用,那就无所谓了。
因此,现在,无论一个补丁是发出20天还是90天后,零项目使供应商意识到问题,它仍将等待90天,以使问题公开。不过,也有一些例外。一个是当两家公司之间有“相互协议”提前披露时,Zero项目也可能将截止日期延长14天,如果供应商需要更长的时间来拼凑一个补丁。在野外被利用的脆弱性的七天期限将保持不变。
除了给补丁更多的时间被采纳,Zero项目说,它希望新的政策将提高一致性,让供应商更好地了解何时将漏洞公之于众。它还说,它渴望看到更多的迭代和彻底的补丁发布,这要归功于供应商现在在最初发布补丁和它解决的漏洞被公开之间的时间。
尽管发生了这些变化,但Zero项目团队表示,他们对其披露期到目前为止的运作方式感到大致满意。在2014年,当团队开始工作时,它说虫子有时在被发现六个月后没有被修复。现在,在它所发现的问题中(其中有很多),它说97.7%是在它的90天窗口内修补的。