谷歌的零号项目安全部门说，被发现存在安全缺陷的公司将很快有更多的时间来解决问题。

该组织宣布将采用一种新的模式来管理它如何报告新的漏洞和安全漏洞，从而使受害者有更多时间发布修复程序。

展望未来，零号项目将保持通常的90天披露期来解决尚未修复的漏洞，但是，如果在此时间内出现补丁，则团队现在将在补丁发布后等待30天，以发布其调查的技术细节。

零项目窗口

以前，零号项目将始终发布90天后发现的任何缺陷的详细信息，无论是否已发布补丁。但是，团队现在希望更改此设置，以使供应商有更多的时间来确保补丁正确发布。

零项目经理蒂姆·威利斯（Tim Willis）表示：“从今天开始，我们将更改披露政策，将重点重新放在减少漏洞修复所需的时间上，改善当前的行业披露时间基准，以及更改发布技术细节的时间。”在博客文章中宣布了这些更改。

Willis指出，最初的想法是，如果供应商希望用户有更多时间来安装补丁，则他们会优先考虑在90天的周期内而不是以后交付修补程序。

但是在实践中，零号项目在补丁程序开发时间表上通常不会发生重大变化，Willis表示，该小组继续收到供应商的反馈，他们担心在大多数用户安装补丁程序之前会公开发布有关漏洞和漏洞的技术细节。

他说：“换句话说，补丁采用的隐含时间表尚不清楚。”

对于已经普遍存在的漏洞，Google仍将在通知受影响的一方之后一周发布一次披露，并且如果该漏洞未得到修复，还包括技术细节。

但是，如果在7天的通知窗口中发布了补丁，则技术详细信息将在30天后出现。现在，供应商将能够要求3天的宽限期，Willis表示，尽管这个新的“ 90 + 30”系统很快就会被取消，但它需要从供应商可以满足的截止日期开始。

他说：“根据我们当前的数据跟踪漏洞补丁程序时间，很可能我们可以在2022年采用'84 +28'模式（将最后期限平均除以7会大大减少我们的最后期限落在周末的机会），”他说。

“升级到“ 90 + 30”模型可以使我们将补丁的时间与补丁的采用时间脱钩，减少围绕攻击者/防御者的权衡取舍和技术细节共享的争论，同时倡导减少结束时间用户容易受到已知攻击。”

“披露政策是一个复杂的话题，需要做出很多取舍，这并不是一个容易做出的决定。我们乐观地认为，我们的2021年政策和披露试验为未来奠定了良好的基础，并且可以平衡可以带来积极改善用户安全性的激励措施。”