相信除 Microsoft 外,不少企業及機構均曾成為一向積極推動資安發展的 Google Project Zero 90 天漏洞揭露計劃的「受害者」,而 Google 亦非盲目死板地執行其計劃。近日 Google 就更新其相關計劃的條款,為時間不足的廠商提供額外 14 日的寬限期。
提供更多寬限其予廠商
Google Project Zero 團隊上星期公布其新漏洞揭露政策,當廠方被支會其漏洞達 90 日後的截止日期為假日,相關資訊披露就會順延到下一個工作天;另外在新例下,若被披露漏洞的廠商主動聯絡 Google,反映漏洞未能於 90 日內堵塞,但已着手進得相關工作,則可向 Google 申請 14 日的揭露寬限期。
而 Google 亦保留其權力以在特殊狀況下提前或延後揭露期限,並承諾會以同樣的標準公平對待所有軟件開發商。
Google 重申對 90 天揭露期的堅持,故此在將相關漏洞提交予軟件開發商後的 90 日後就會公布漏洞相關細節。Google 表示,不少黑客組織較資安組織投入更多資源往漏洞研究,令黑客安們經常較 Google 早發現漏洞,而揭露期限則有助促使廠商儘快釋出修補程式,以改善用戶安全。
Source:Google