谷歌 Project Zero 安全團隊今天對漏洞披露指南進行了調整,為每次安全漏洞披露增加了 30 天的緩衝期,這樣終端使用者就有足夠的時間來修補軟體,防止這些漏洞被攻擊者利用。
今天的這項調整對於安全領域來說非常重要,因為目前網路安全社群的很多人都已採用 Project Zero 的規則作為向軟體供應商、向公眾披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人員會給軟體廠商 90 天的時間來修復一個安全漏洞。當 bug 被修復後,或者在 90 天時間視窗結束時,谷歌研究人員會在網上(在他們的 bug 跟蹤器上)公佈有關 bug 的細節。
額外增加的 30 天時間能夠讓讓受影響產品的使用者有時間更新他們的軟體,在一些複雜的企業網路中,這種操作通常需要幾天或幾周的時間。Project Zero 團隊負責人 Tom Willis 表示,過去曾有公司抱怨使用者應用補丁時缺乏足夠的緩衝時間。
過去Project Zero研究人員釋出的漏洞細節通常會包括對漏洞工作原理的深入技術解釋,通常還會包括概念驗證程式碼。儘管演示的漏洞程式碼被刪減了,但它往往也為構建更高階的漏洞提供了基本的線框。
此外,Willis 表示,30 天的額外時間緩衝也將適用於零日漏洞,而不僅僅只是普通的 bug。此前,Project Zero 會給公司 7 個日曆日的時間來修補任何主動利用的漏洞(零日),然後才會在網上公佈該漏洞的詳細資訊。
Willis 表示從 2021 年開始,Project Zero 的研究人員將對零日應用同樣的 30 天緩衝期,甚至願意在原來的7天披露期限上再增加3天,以便在一些罕見的情況下,給公司更多的時間來建立補丁。