谷歌 Project Zero 安全團隊今天對漏洞披露指南進行了調整,為每次安全漏洞披露增加了 30 天的緩沖期,這樣終端用戶就有足夠的時間來修補軟件,防止這些漏洞被攻擊者利用。
今天的這項調整對于安全領域來說非常重要,因為目前網絡安全社區的很多人都已采用 Project Zero 的規則作為向軟件供應商、向公眾披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人員會給軟件廠商 90 天的時間來修復一個安全漏洞。當 bug 被修復后,或者在 90 天時間窗口結束時,谷歌研究人員會在網上(在他們的 bug 跟蹤器上)公布有關 bug 的細節。
額外增加的 30 天時間能夠讓讓受影響產品的用戶有時間更新他們的軟件,在一些復雜的企業網絡中,這種操作通常需要幾天或幾周的時間。Project Zero 團隊負責人 Tom Willis 表示,過去曾有公司抱怨用戶應用補丁時缺乏足夠的緩沖時間。
過去Project Zero研究人員發布的漏洞細節通常會包括對漏洞工作原理的深入技術解釋,通常還會包括概念驗證代碼。盡管演示的漏洞代碼被刪減了,但它往往也為構建更高級的漏洞提供了基本的線框。
此外,Willis 表示,30 天的額外時間緩沖也將適用于零日漏洞,而不僅僅只是普通的 bug。此前,Project Zero 會給公司 7 個日歷日的時間來修補任何主動利用的漏洞(零日),然后才會在網上公布該漏洞的詳細信息。
Willis 表示從 2021 年開始,Project Zero 的研究人員將對零日應用同樣的 30 天緩沖期,甚至愿意在原來的7天披露期限上再增加3天,以便在一些罕見的情況下,給公司更多的時間來創建補丁。