谷歌宣布,零项目安全团队将再等待30天,以披露漏洞的细节,以便最终用户有足够的时间修补软件。这意味着开发者仍将有90天的时间修复常见错误(如果需要,还有14天的宽限期),但谷歌将再等30天再公开披露细节。对于在野外(零天)积极开发的缺陷,公司仍需要修复七天,并根据需要提供三天的宽限期。然而,谷歌现在将等待30天,然后才披露技术细节。
去年,谷歌允许开发人员有更多的时间来修复bug,希望他们能够足够快地修复bug,给最终用户更多的时间来修复它们。“在实践中,我们没有发现补丁开发进度有任何重大变化,我们不断收到供应商的反馈,他们担心在大多数用户安装补丁之前,会公开发布漏洞和漏洞的技术细节。”蒂姆威利斯写道。
现在,开发人员有整整90天或7天的时间来开发补丁,而最终用户将有30天的时间来应用补丁,然后再将其公开。但如果需要宽限期,披露时间会缩短30天,所以只要定期和零日漏洞总是按时修复,漏洞总会在120或37天后被发现。如果不及时打补丁,分别在90天和7天内发布。
这将适用于2021年,但明年可能会改变。该公司表示:“我们的第一选择是选择一个大多数供应商都能一致满足的起点,然后逐步减少补丁开发和补丁采用的时间表。”更多信息,请访问谷歌项目零日博客。