Google 為 Project Zero 90 天揭露政策額外提供 14 日寬限期

相信除 Microsoft 外,不少企業及機構均曾成為一向積極推動資安發展的 Google Project Zero 90 天漏洞揭露計劃的「受害者」,而 Google 亦非盲目死板地執行其計劃。近日 Google 就更新其相關計劃的條款,為時間不足的廠商提供額外 14 日的寬限期。

相信除 Microsoft 外,不少企業及機構均曾成為一向積極推動資安發展的 Google Project Zero 90 天漏洞揭露計劃的「受害者」,而 Google 亦非盲目死板地執行其計劃。近日 Google 就更新其相關計劃的條款,為時間不足的廠商提供額外 14 日的寬限期。

 

提供更多寬限其予廠商

Google Project Zero 團隊上星期公布其新漏洞揭露政策,當廠方被支會其漏洞達 90 日後的截止日期為假日,相關資訊披露就會順延到下一個工作天;另外在新例下,若被披露漏洞的廠商主動聯絡 Google,反映漏洞未能於 90 日內堵塞,但已着手進得相關工作,則可向 Google 申請 14 日的揭露寬限期。

而 Google 亦保留其權力以在特殊狀況下提前或延後揭露期限,並承諾會以同樣的標準公平對待所有軟件開發商。

Google 重申對 90 天揭露期的堅持,故此在將相關漏洞提交予軟件開發商後的 90 日後就會公布漏洞相關細節。Google 表示,不少黑客組織較資安組織投入更多資源往漏洞研究,令黑客安們經常較 Google 早發現漏洞,而揭露期限則有助促使廠商儘快釋出修補程式,以改善用戶安全。

Source:Google