谷歌 Project Zero 安全團(tuán)隊(duì)今天對(duì)漏洞披露指南進(jìn)行了調(diào)整，為每次安全漏洞披露增加了 30 天的緩沖期，這樣終端用戶就有足夠的時(shí)間來修補(bǔ)軟件，防止這些漏洞被攻擊者利用。

　　今天的這項(xiàng)調(diào)整對(duì)于安全領(lǐng)域來說非常重要，因?yàn)槟壳熬W(wǎng)絡(luò)安全社區(qū)的很多人都已采用 Project Zero 的規(guī)則作為向軟件供應(yīng)商、向公眾披露安全漏洞的非官方方法。在今天之前，谷歌 Project Zero 的研究人員會(huì)給軟件廠商 90 天的時(shí)間來修復(fù)一個(gè)安全漏洞。當(dāng) bug 被修復(fù)后，或者在 90 天時(shí)間窗口結(jié)束時(shí)，谷歌研究人員會(huì)在網(wǎng)上(在他們的 bug 跟蹤器上)公布有關(guān) bug 的細(xì)節(jié)。

　　額外增加的 30 天時(shí)間能夠讓讓受影響產(chǎn)品的用戶有時(shí)間更新他們的軟件，在一些復(fù)雜的企業(yè)網(wǎng)絡(luò)中，這種操作通常需要幾天或幾周的時(shí)間。Project Zero 團(tuán)隊(duì)負(fù)責(zé)人 Tom Willis 表示，過去曾有公司抱怨用戶應(yīng)用補(bǔ)丁時(shí)缺乏足夠的緩沖時(shí)間。

　　過去Project Zero研究人員發(fā)布的漏洞細(xì)節(jié)通常會(huì)包括對(duì)漏洞工作原理的深入技術(shù)解釋，通常還會(huì)包括概念驗(yàn)證代碼。盡管演示的漏洞代碼被刪減了，但它往往也為構(gòu)建更高級(jí)的漏洞提供了基本的線框。

　　此外，Willis 表示，30 天的額外時(shí)間緩沖也將適用于零日漏洞，而不僅僅只是普通的 bug。此前，Project Zero 會(huì)給公司 7 個(gè)日歷日的時(shí)間來修補(bǔ)任何主動(dòng)利用的漏洞(零日)，然后才會(huì)在網(wǎng)上公布該漏洞的詳細(xì)信息。

　　Willis 表示從 2021 年開始，Project Zero 的研究人員將對(duì)零日應(yīng)用同樣的 30 天緩沖期，甚至愿意在原來的7天披露期限上再增加3天，以便在一些罕見的情況下，給公司更多的時(shí)間來創(chuàng)建補(bǔ)丁。