谷歌延长90天漏洞披露机制：再给2周时间又何妨

　　谷歌延长90天漏洞披露机制：再给2周时间又何妨

　　【TechWeb报道】2月16日消息，据Betanews报道，针对微软等公司的抱怨，谷歌延长了互联网安全项目Project Zero漏洞披露时间，由此前的90天增加了2周的时间。也就说，软件开发者或者开发公司如果可以在114天之内承诺修复漏洞，并在此期间内发布漏洞补丁，谷歌就不会将漏洞信息公之于众。

　　Project Zero是谷歌于2014年7月宣布的一个互联网安全项目，旨在督促软件开发者在其软件出现安全漏洞时，及时为它们打上补丁。并且谷歌会给软件开发者90天的时间用以修复漏洞，不然将会对外披露此漏洞细节。

　　就在一个月前，谷歌披露了微软Windows 8.1的漏洞。几天后，微软便发布了官方补丁。此后，谷歌又披露了两个漏洞，但这一次却遭到了来自微软及其用户的齐声抗议。现在，谷歌终于决定对这项政策进行微幅调整。

　　不过，这并非要完全废除90天披露机制，而是要增强其灵活性，给软件开发商更多的时间——14天——进行漏洞修复。如果，截止日期恰逢周日或公共假期，该公司会将披露计划顺延至下一个工作日。

　　从现在开始，如果开发者提前告知谷歌补丁的推出时间，那么谷歌将会将漏洞详细信息的披露时间延迟2周。

　　谷歌在官方博客中表示：“我们现在增加了14天的漏洞宽限期，如果开发者在90天之内告知其即将在未来的14天内推出相关的漏洞补丁，我们将漏洞披露时间顺延，直到厂商在规定时间内修复漏洞。我们只会在补丁大幅拖延两周以上时，才会公开披露未修补的漏洞细节。”

　　当然，此举的推出仍然不会让所有公司满意。对此，谷歌指出所有的漏洞都是一视同仁并表示：“Project Zero手中也掌握着谷歌产品(Chrome和Android)的漏洞，而且也会受制于同样的截止日期。”（易木）