2月16日消息,据Betanews报道,针对微软等公司的抱怨,谷歌延长了互联网安全项目Project Zero漏洞披露时间,由此前的90天增加了2周的时间。也就说,软件开发者或者开发公司如果可以在114天之内承诺修复漏洞,并在此期间内发布漏洞补丁,谷歌就不会将漏洞信息公之于众。
Project Zero是谷歌于2014年7月宣布的一个互联网安全项目,旨在督促软件开发者在其软件出现安全漏洞时,及时为它们打上补丁。并且谷歌会给软件开发者90天的时间用以修复漏洞,不然将会对外披露此漏洞细节。
就在一个月前,谷歌披露了微软Windows 8.1的漏洞。几天后,微软便发布了官方补丁。此后,谷歌又披露了两个漏洞,但这一次却遭到了来自微软及其用户的齐声抗议。现在,谷歌终于决定对这项政策进行微幅调整。
不过,这并非要完全废除90天披露机制,而是要增强其灵活性,给软件开发商更多的时间——14天——进行漏洞修复。如果,截止日期恰逢周日或公共假期,该公司会将披露计划顺延至下一个工作日。
从现在开始,如果开发者提前告知谷歌补丁的推出时间,那么谷歌将会将漏洞详细信息的披露时间延迟2周。
谷歌在官方博客中表示:“我们现在增加了14天的漏洞宽限期,如果开发者在90天之内告知其即将在未来的14天内推出相关的漏洞补丁,我们将漏洞披露时间顺延,直到厂商在规定时间内修复漏洞。我们只会在补丁大幅拖延两周以上时,才会公开披露未修补的漏洞细节。”
当然,此举的推出仍然不会让所有公司满意。对此,谷歌指出所有的漏洞都是一视同仁并表示:“Project Zero手中也掌握着谷歌产品(Chrome和Android)的漏洞,而且也会受制于同样的截止日期。”
