谷歌公开漏洞遭指责 可多给14天宽限期

在接连披漏多个Windows系统漏洞和OS X漏洞后，谷歌的Project Zero项目这种漏洞公开机制似乎遭到了一些人的指责。不过，Project Zero今日发表博文称，可额外给予14天的漏洞公开宽限期，当然前提是在90天内厂商通知他们漏洞补丁正在制作中，需要延期。

谷歌在文中表示，90天的期限是行业惯例，并且谷歌在发现漏洞时已经通知相关厂商。谷歌还列举了Project Zero项目的一些数据：Adobe Flash Player在90天内修复了大约37个Project Zero提交的漏洞（及时修复率几乎是100%）；目前为止，有154个Project Zero项目报告的漏洞在90天内被修复，占总漏洞的85%；2014年10月1日之后提交的漏洞，有95%在90天内被修复。

谷歌表示在研究了某些厂商的漏洞回应反馈后，对Project Zero的漏洞披漏机制做了如下更改：如果最后期限是周末或美国公众假期，截止日期将延期到正常工作日。宽限期：我们现在给予14天的宽限期。如果90天的期限将到期，但相关供应商让我们知道：修补程序将会在90天后的14天内发布，那么额外给予2周的漏洞公开宽限期。

谷歌还说明，在Project Zero项目中，每个厂商的漏洞将公平对待，包括自己家的Chrome和Android。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友