谷歌 Project Zero 安全團隊今天對漏洞披露指南進(jìn)行了調(diào)整，為每次安全漏洞披露增加了 30 天的緩沖期，這樣終端用戶就有足夠的時間來修補軟件，防止這些漏洞被攻擊者利用。

　　今天的這項調(diào)整對于安全領(lǐng)域來說非常重要，因為目前網(wǎng)絡(luò)安全社區(qū)的很多人都已采用 Project Zero 的規(guī)則作為向軟件供應(yīng)商、向公眾披露安全漏洞的非官方方法。在今天之前，谷歌 Project Zero 的研究人員會給軟件廠商 90 天的時間來修復(fù)一個安全漏洞。當(dāng) bug 被修復(fù)后，或者在 90 天時間窗口結(jié)束時，谷歌研究人員會在網(wǎng)上(在他們的 bug 跟蹤器上)公布有關(guān) bug 的細(xì)節(jié)。

　　額外增加的 30 天時間能夠讓讓受影響產(chǎn)品的用戶有時間更新他們的軟件，在一些復(fù)雜的企業(yè)網(wǎng)絡(luò)中，這種操作通常需要幾天或幾周的時間。Project Zero 團隊負(fù)責(zé)人 Tom Willis 表示，過去曾有公司抱怨用戶應(yīng)用補丁時缺乏足夠的緩沖時間。

　　過去Project Zero研究人員發(fā)布的漏洞細(xì)節(jié)通常會包括對漏洞工作原理的深入技術(shù)解釋，通常還會包括概念驗證代碼。盡管演示的漏洞代碼被刪減了，但它往往也為構(gòu)建更高級的漏洞提供了基本的線框。

　　此外，Willis 表示，30 天的額外時間緩沖也將適用于零日漏洞，而不僅僅只是普通的 bug。此前，Project Zero 會給公司 7 個日歷日的時間來修補任何主動利用的漏洞(零日)，然后才會在網(wǎng)上公布該漏洞的詳細(xì)信息。

　　Willis 表示從 2021 年開始，Project Zero 的研究人員將對零日應(yīng)用同樣的 30 天緩沖期，甚至愿意在原來的7天披露期限上再增加3天，以便在一些罕見的情況下，給公司更多的時間來創(chuàng)建補丁。