据外媒报道,谷歌近日宣布,将对软件漏洞披露政策Project Zero进行微调,给予相关企业14天的额外宽限期,使之更加从容地开发补丁,即谷歌给予的宽限期由原来的90天延长至104天。
谷歌公布企业bug前将多宽限两周(图片来自baidu)
早前,谷歌通过Project Zero项目披露了很多流行软件的漏洞和安全问题,并由此引发了一些争议。如一个月前,谷歌就曾通过这一项目公布了Windows 8.1的漏洞。几天后,微软便发布了官方补丁。此后,谷歌又披露了两个漏洞,但这一次却遭到了微软及其用户的齐声抗议。
现在,谷歌终于决定对这项政策进行微幅调整,给予相关企业14天的额外宽限期。根据谷歌早前的政策,如果相关企业没有在漏洞被发现后90天内进行修复,该公司就将把详细信息公之于众。
从现在开始,倘若相关企业将补丁即将发布的消息告知谷歌,谷歌便可将披露计划推迟最多两个星期。该公司在官方博客中说:“我们现在制定了14天的宽限期。如果90天的截止日期即将到来,但相关企业在截止日期之前让我们知道,他们将在截止日期之后的14天内发布补丁,我们就会将漏洞公布时间推迟到补丁发布之后。现在,我们只会在补丁大幅拖延(两周以上)时,才会公开披露未修补的漏洞。”
谷歌也表示,并不会取消这项政策,但却会增强灵活性。例如,倘若截止日期恰逢周日或公共假期,该公司会将披露计划顺延至下一个工作日。当然,即便经过了这番修改,还是会有很多公司对谷歌表达不满。
对此谷歌指出,该公司会公平对待所有漏洞。“Project Zero手中也掌握着谷歌产品(Chrome和Android)的漏洞,而且也会受制于同样的截止日期。
