Google Project Zero更新漏洞揭露政策，提供30天的修補緩衝期

專門探究各種零時差漏洞的Google Project Zero本周公布2021年的漏洞揭露政策，若業者在90天內修補了漏洞，那麼Project Zero團隊將會再提供30天的修補緩衝期，以讓使用者有充裕的修補時間，之後才會公開漏洞的技術細節，但倘若業者未能於90天內修補，那麼該團隊在90天後就會直接公開漏洞細節。

原本Project Zero的漏洞揭露政策如下：對於尚未被開採的漏洞，業者必須在90天內修補，或是額外爭取14天的寬限期，期限一到，不管有沒有修補完成，該團隊都會公開漏洞細節；而對於已被開採的漏洞，業者則必須在7天內修補，期限一到不管有無修補都會公開漏洞細節，且無寬限期。

新版的漏洞揭露政策對於尚未修補的漏洞所採取的措施跟舊版一樣，都是在90天或7天之後就會公開漏洞細節，但對於已於90天及7天內修補的漏洞，Project Zero將會額外提供30天的修補緩衝期，之後才會公開漏洞細節。

新政策同樣允許業者針對未被開採的漏洞爭取14天的寬限期，並放寬對已開採漏洞的規定，允許業者要求3天的寬限期。但這些寬限期將會擠壓修補緩衝期的空間，例如假設未被開採的漏洞花了100天才修補完成，那麼修補緩衝期就只剩20天，代表Project Zero團隊無論如何都會在120天之後公布漏洞細節。

其實Project Zero團隊一直想縮短業者的修補時間，加速漏洞的揭露時間，因為該團隊相信漏洞分析對資安社群的重要性超過揭露風險，此次的變更是納入了外界的意見，再加上期望獲得最佳的使用者安全而來。

不過，Project Zero也預告，明年可能會改成84天的業者修補期限，以及28天的使用者修補緩衝期。