Google Project Zero修改漏洞披露政策：90天强制披露

Google Project Zero 近日在官方博客宣布对漏洞披露政策做出重大调整，新政策将不再 “姑息” 那些漏洞修复迟钝的企业。从 2020 年 1 月 1 日起，除非与企业提前达成协议，否则在漏洞提交 90 天后，无论企业是否修复漏洞，都会进行披露。

Google Project Zero 的 90 天披露期已经存在了五年，虽然 99.7% 的漏洞都能够在 90 天之内修复，但是依然有很多漏洞在 90 天之后才得到修复。

谷歌安全团队意识到，必须在补丁开发和漏洞管理方面做出改进。过去，当漏洞在 90 天内被修补后，漏洞细节允许在90天内提前披露。但在新的政策中，无论漏洞是否修复，漏洞细节都必须在 90 天后披露。

谷歌表示此举是为了为业界提供一个更加公平、一致的漏洞发布机制，除了继续推动漏洞修补速度外，新政策还同样期望补丁的开发能够更彻底，更新覆盖更全面，同时也为厂商，包括谷歌自己在内，打造一个公平的披露机制。

谷歌 Project Zero 的 Tim Willis 表示，过去一个非常常见的问题是：厂商接到漏洞报告一味追求修补速度，“头痛医头，脚痛医脚。” 完全不考虑变种或者查找问题的根源。这导致攻击者很容易调整方式继续攻击。新政策 90 天后强制披露能够有效敦促厂商不仅仅关注漏洞修补速度，同时也要关注的用户补丁更新情况。

据悉，谷歌将给新政策 12 个月的试运营期，然后考虑是否转为长期政策。