谷歌ProjectZero團隊以披露大量嚴重漏洞而被人們所熟知，但也因為嚴格的快速披露政策而遭到了行業內的批評。

于是2020年的時候，谷歌安全團隊試圖制定新的政策，將問題披露的寬限期給足了整整90天。

即便如此，谷歌還是對過去五年的政策表現感到滿意，指出有97.9%的漏洞報告在當前的90天披露政策下得到了有效的修復。

【題圖via9to5Google】

相比之下，2014年有些bug拖了六個月、甚至更長的時間來解決。不過在審查了“復雜且經常引起爭議”的漏洞披露政策之后，谷歌還是決定在2020年做出一些改變。

那些易被曝光漏洞的企業，將被給予默認90天的緩沖時間，而無論其將于何時修復相關bug。若企業順利或提前完成了修復，也可以與谷歌ProjectZero取得聯系，以提前公布漏洞詳情。

●廠家在20天內修復了bug？谷歌將在第90天公布漏洞詳情；

●廠家在90天內修復了bug？谷歌也將在第90天公布漏洞詳情！

當然，在爭取推動“更快的補丁開發”流程的同時，ProjectZero還希望全面提升補丁程序的采用率。

（1）現有政策下，谷歌希望供應商能夠快速開發補丁，并制定適當的流程，以將之交付給最終客戶，我們將繼續緊迫地追求這一點。

（2）然而有太多次，供應商只是簡單的記錄了漏洞，而不考修改或從根本上修復已曝光的漏洞。有鑒于此，ProjectZero團隊希望推動更快的補丁開發，以防別有用心者輕易地向用戶發動大大小小的攻擊。

（3）改進后的新政策指出，發現漏洞之后，最終用戶的安全性不會就此得到改善，直到bug得到適當的修復。只有最終用戶意識到相關bug，并在他們的設備上實施了修補，才能夠從漏洞修復中得到益處。

最后，在新政策轉入“長期實施”之前，Google將給予12個月的試用。