信息來源：安全牛

Google Project Zero 近日在官方博客宣布對漏洞披露政策做出重大調(diào)整，新政策將不再 “姑息” 那些漏洞修復(fù)遲鈍的企業(yè)。從 2020 年 1 月 1 日起，除非與企業(yè)提前達成協(xié)議，否則在漏洞提交 90 天后，無論企業(yè)是否修復(fù)漏洞，都會進行披露。

Google Project Zero 的 90 天披露期已經(jīng)存在了五年，雖然 99.7% 的漏洞都能夠在 90 天之內(nèi)修復(fù)，但是依然有很多漏洞在 90 天之后才得到修復(fù)。

谷歌安全團隊意識到，必須在補丁開發(fā)和漏洞管理方面做出改進。過去，當(dāng)漏洞在 90 天內(nèi)被修補后，漏洞細節(jié)允許在90天內(nèi)提前披露。但在新的政策中，無論漏洞是否修復(fù)，漏洞細節(jié)都必須在 90 天后披露。

谷歌表示此舉是為了為業(yè)界提供一個更加公平、一致的漏洞發(fā)布機制，除了繼續(xù)推動漏洞修補速度外，新政策還同樣期望補丁的開發(fā)能夠更徹底，更新覆蓋更全面，同時也為廠商，包括谷歌自己在內(nèi)，打造一個公平的披露機制。

谷歌 Project Zero 的 Tim Willis 表示，過去一個非常常見的問題是：廠商接到漏洞報告一味追求修補速度，“頭痛醫(yī)頭，腳痛醫(yī)腳?！?完全不考慮變種或者查找問題的根源。這導(dǎo)致攻擊者很容易調(diào)整方式繼續(xù)攻擊。新政策 90 天后強制披露能夠有效敦促廠商不僅僅關(guān)注漏洞修補速度，同時也要關(guān)注的用戶補丁更新情況。

據(jù)悉，谷歌將給新政策 12 個月的試運營期，然后考慮是否轉(zhuǎn)為長期政策。