谷歌宣布,零项目安全团队将再等待30天,以披露漏洞详细信息,以便最终用户有足够的时间来修补软件。这意味着开发人员仍将有90天的时间来修复常规错误(如果要求,还可以有14天的宽限期),但是Google将再等待30天,然后才能公开披露详细信息。对于在野外(零日)积极开发的缺陷,公司仍需要修补七天,并按需提供三天宽限期。但是,Google现在将等待30天,然后透露技术细节。
去年,Google允许开发人员有更多的时间来修复错误,希望他们能够足够快地修复错误,以使最终用户有更多的时间来修补。“在实践中,我们并未发现补丁程序开发时间表发生重大变化,我们继续收到供应商的反馈,他们担心在大多数用户安装补丁程序之前,他们会公开发布有关漏洞和漏洞的技术细节。”蒂姆·威利斯写道。
现在,开发人员有完整的90天或7天的时间来开发补丁,而最终用户将有30天的时间来应用补丁,然后再进行公开。但是,如果要求宽限期,则将缩短30天的披露时间,因此对于常规和零日漏洞,只要始终按时修补,漏洞将始终在120或37天后被发现。如果没有及时打补丁,它们将分别在90天和7天内发布。
这将适用于2021年,但明年可能会改变。该公司表示:“我们的首选是选择一个大多数供应商都能始终如一地满足的起点,然后逐步降低补丁程序的开发和补丁程序采用的时间表。”有关更多信息,请访问Google Project零日博客。