Project Zero – Policy and Disclosure: 2025 Edition
10 months ago
- #Vulnerability Disclosure
- #Patch Management
- #Cybersecurity
- 谷歌Project Zero在2021年将其漏洞披露政策更新为'90+30'模式,以推动更快的补丁开发和提升修复率
- 指出'补丁缺口'和'上游补丁缺口'是漏洞生命周期中的关键延迟环节,严重影响终端用户安全
- 宣布名为'报告透明度'的新试验政策,旨在向上游供应商更早披露漏洞信息
- 在提交报告一周内,Project Zero将公开供应商名称、受影响产品及修复截止日期等基本信息
- 通过增强上游供应商与下游依赖方之间的透明度与沟通,着力缩短上游补丁缺口
- 承诺早期披露不会包含可能帮助攻击者的技术细节,仅提供预警而非漏洞利用方案
- 该政策属于试验性质,将通过持续监测评估其对建立及时修复漏洞的安全生态的影响