谷歌：将额外给予14天的漏洞公开宽限期

在接连披漏多个 Windows 系统漏洞和 OS X 漏洞后，谷歌的 Project Zero 项目这种漏洞公开机制似乎遭到了一些人的指责。不过， Project Zero 今日发表博文称，可额外给予14天的漏洞公开宽限期，当然前提是在90天内厂商通知他们漏洞补丁正在制作中，需要延期。

谷歌在文中表示：

90天的期限是行业惯例，并且谷歌在发现漏洞时已经通知相关厂商。

谷歌还列举了 Project Zero 项目的一些数据：

• Adobe Flash Player在 90 天内修复了大约 37 个 Project Zero 提交的漏洞（及时修复率几乎是100%）；
• 目前为止，有154个 Project Zero 项目报告的漏洞在90天内被修复，占总漏洞的85%；
• 2014年10月1日之后提交的漏洞，有95%在90天内被修复。

谷歌表示在研究了某些厂商的漏洞回应反馈后，对 Project Zero 的漏洞披漏机制做了如下更改：

• 如果最后期限是周末或美国公众假期，截止日期将延期到正常工作日。
• 宽限期：我们现在给予14天的宽限期。如果90天的期限将到期，但相关供应商让我们知道：修补程序将会在90天后的14天内发布，那么额外给予2周的漏洞公开宽限期。

谷歌还说明，在 Project Zero 项目中，每个厂商的漏洞将公平对待，包括自己家的Chrome 和 Android。