新闻链接:e83K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3x3U0l9I4y4e0l9J5i4K6u0r3x3K6M7%4y4U0j5%4i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间:2015-02-1509:11:49
新闻正文:
在接连披漏多个 Windows 系统漏洞和 OS X 漏洞后,谷歌的 Project Zero 项目这种漏洞公开机制似乎遭到了一些人的指责。不过, Project Zero 今日发表博文称,可额外给予14天的漏洞公开宽限期,当然前提是在90天内厂商通知他们漏洞补丁正在制作中,需要延期。
谷歌在文中表示,90天的期限是行业惯例,并且谷歌在发现漏洞时已经通知相关厂商。谷歌还列举了 Project Zero 项目的一些数据:Adobe Flash Player在 90 天内修复了大约 37 个 Project Zero 提交的漏洞(及时修复率几乎是100%);目前为止,有154个 Project Zero 项目报告的漏洞在90天内被修复,占总漏洞的85%;2014年10月1日之后提交的漏洞,有95%在90天内被修复。
谷歌表示在研究了某些厂商的漏洞回应反馈后,对 Project Zero 的漏洞披漏机制做了如下更改:
如果最后期限是周末或美国公众假期,截止日期将延期到正常工作日。
宽限期:我们现在给予14天的宽限期。如果90天的期限将到期,但相关供应商让我们知道:修补程序将会在90天后的14天内发布,那么额外给予2周的漏洞公开宽限期。
谷歌还说明,在 Project Zero 项目中,每个厂商的漏洞将公平对待,包括自己家的Chrome 和 Android。
