谷歌：將額外給予 14 天的漏洞公開寬限期

在接連披漏多個 Windows 系統漏洞和 OS X 漏洞后，谷歌的 Project Zero 項目這種漏洞公開機制似乎遭到了一些人的指責。 不過， Project Zero 今日發表博文稱，可額外給予14天的漏洞公開寬限期，當然前提是在90天內廠商通知他們漏洞補丁正在制作中，需要延期。

谷歌在文中表示，90天的期限是行業慣例，并且谷歌在發現漏洞時已經通知相關廠商。谷歌還列舉了 Project Zero 項目的一些數據：Adobe Flash Player在 90 天內修復了大約 37 個 Project Zero 提交的漏洞（及時修復率幾乎是100%）；目前為止，有154個 Project Zero 項目報告的漏洞在90天內被修復，占總漏洞的85%；2014年10月1日之后提交的漏洞，有95%在90天內被修復。

谷歌表示在研究了某些廠商的漏洞回應反饋后，對 Project Zero 的漏洞披漏機制做了如下更改：

如果最后期限是周末或美國公眾假期，截止日期將延期到正常工作日。
寬限期。我們現在給予14天的寬限期。如果90天的期限將到期，但相關供應商讓我們知道：修補程序將會在90天后的14天內發布，那么額外給予2周的漏洞公開寬限期。

谷歌還說明，在 Project Zero 項目中，每個廠商的漏洞將公平對待，包括自己家的 Chrome 和 Android。

編譯自：arstechnica
稿源：repaik.com