谷歌 Project Zero 安全团队今天对漏洞披露指南进行了调整,为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利用。
今天的这项调整对于安全领域来说非常重要,因为目前网络安全社区的很多人都已采用 Project Zero 的规则作为向软件供应商、向公众披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人员会给软件厂商 90 天的时间来修复一个安全漏洞。当 bug 被修复后,或者在 90 天时间窗口结束时,谷歌研究人员会在网上(在他们的 bug 跟踪器上)公布有关 bug 的细节。
额外增加的 30 天时间能够让让受影响产品的用户有时间更新他们的软件,在一些复杂的企业网络中,这种操作通常需要几天或几周的时间。Project Zero 团队负责人 Tom Willis 表示,过去曾有公司抱怨用户应用补丁时缺乏足够的缓冲时间。
过去Project Zero研究人员发布的漏洞细节通常会包括对漏洞工作原理的深入技术解释,通常还会包括概念验证代码。尽管演示的漏洞代码被删减了,但它往往也为构建更高级的漏洞提供了基本的线框。
此外,Willis 表示,30 天的额外时间缓冲也将适用于零日漏洞,而不仅仅只是普通的 bug。此前,Project Zero 会给公司 7 个日历日的时间来修补任何主动利用的漏洞(零日),然后才会在网上公布该漏洞的详细信息。
Willis 表示从 2021 年开始,Project Zero 的研究人员将对零日应用同样的 30 天缓冲期,甚至愿意在原来的7天披露期限上再增加3天,以便在一些罕见的情况下,给公司更多的时间来创建补丁。