谷歌：將額外給予14天的漏洞公開寬限期

在接連披漏多個 Windows 系統漏洞和 OS X 漏洞後，谷歌的 Project Zero 專案這種漏洞公開機制似乎遭到了一些人的指責。不過， Project Zero 今日發表博文稱，可額外給予14天的漏洞公開寬限期，當然前提是在90天內廠商通知他們漏洞補丁正在製作中，需要延期。

谷歌在文中表示：

90天的期限是行業慣例，並且谷歌在發現漏洞時已經通知相關廠商。

谷歌還列舉了 Project Zero 專案的一些資料：

• Adobe Flash Player在 90 天內修復了大約 37 個 Project Zero 提交的漏洞（及時修復率幾乎是100%）；
• 目前為止，有154個 Project Zero 專案報告的漏洞在90天內被修復，佔總漏洞的85%；
• 2014年10月1日之後提交的漏洞，有95%在90天內被修復。

谷歌表示在研究了某些廠商的漏洞回應反饋後，對 Project Zero 的漏洞披漏機制做了如下更改：

• 如果最後期限是週末或美國公眾假期，截止日期將延期到正常工作日。
• 寬限期：我們現在給予14天的寬限期。如果90天的期限將到期，但相關供應商讓我們知道：修補程式將會在90天后的14天內釋出，那麼額外給予2周的漏洞公開寬限期。

谷歌還說明，在 Project Zero 專案中，每個廠商的漏洞將公平對待，包括自己家的Chrome 和 Android。