谷歌:將額外給予14天的漏洞公開寬限期

發表於2015-02-14

在接連披漏多個 Windows 系統漏洞和 OS X 漏洞後,谷歌的 Project Zero 專案這種漏洞公開機制似乎遭到了一些人的指責。不過, Project Zero 今日發表博文稱,可額外給予14天的漏洞公開寬限期,當然前提是在90天內廠商通知他們漏洞補丁正在製作中,需要延期。

谷歌在文中表示:

90天的期限是行業慣例,並且谷歌在發現漏洞時已經通知相關廠商。

谷歌還列舉了 Project Zero 專案的一些資料:

  • Adobe Flash Player在 90 天內修復了大約 37 個 Project Zero 提交的漏洞(及時修復率幾乎是100%);
  • 目前為止,有154個 Project Zero 專案報告的漏洞在90天內被修復,佔總漏洞的85%;
  • 2014年10月1日之後提交的漏洞,有95%在90天內被修復。

谷歌表示在研究了某些廠商的漏洞回應反饋後,對 Project Zero 的漏洞披漏機制做了如下更改:

  • 如果最後期限是週末或美國公眾假期,截止日期將延期到正常工作日。
  • 寬限期:我們現在給予14天的寬限期。如果90天的期限將到期,但相關供應商讓我們知道:修補程式將會在90天后的14天內釋出,那麼額外給予2周的漏洞公開寬限期。

谷歌還說明,在 Project Zero 專案中,每個廠商的漏洞將公平對待,包括自己家的Chrome 和 Android。

相關文章