Project Zero：政策与披露：2025版

作者：Tim Willis，谷歌Project Zero

2021年，我们将漏洞披露政策更新为当前的"90+30"模式。我们的目标是推动更快速且彻底的补丁开发，并提高补丁采用率。虽然我们已经看到了进展，但仍然存在一个重大挑战：修复程序实际到达终端用户设备所需的时间。

这种延迟通常被称为"补丁差距"，是一个复杂的问题。许多人认为补丁差距是指安全漏洞修复程序发布与用户安装相关更新之间的时间。然而，我们的工作突显了一个关键的早期延迟：“上游补丁差距”。这是上游供应商已有可用修复程序，但最终负责向用户提供修复程序的下游依赖方尚未将其集成到最终产品中的时期。

由于Project Zero最近的工作重点集中在基础的上游技术，如芯片组及其驱动程序，我们观察到这种上游差距显著延长了漏洞生命周期。对于终端用户来说，当供应商A向供应商B发布补丁时，漏洞并未修复；只有当用户下载更新并将其安装到设备上时，漏洞才算修复。要缩短整个链条，我们需要解决上游延迟问题。

为了解决这个问题，我们宣布一项新的试验政策：报告透明度。

试验：报告透明度

我们的核心90天披露截止日期将保持有效。然而，我们在流程开始阶段增加了一个新步骤。

从今天开始，在向供应商报告漏洞后约一周内，我们将公开分享发现了一个漏洞。我们将分享：

该试验维持我们现有的90+30政策，意味着供应商在漏洞披露前仍有90天时间来修复错误，如果错误在截止日期前修复，还有30天的补丁采用期。

Google Big Sleep（谷歌DeepMind与谷歌Project Zero的合作项目）也将在其漏洞报告中试验此政策。Google Big Sleep的问题跟踪器位于goo.gle/bigsleep

该试验的主要目标是通过提高透明度来缩小上游补丁差距。通过提供漏洞已向上游报告的早期信号，我们可以更好地通知下游依赖方。对于我们的一小部分问题，他们将有一个额外的信息来源来监控可能影响其用户的问题。

我们希望该试验将鼓励在上游供应商和下游依赖方之间建立更强的安全相关沟通渠道，从而为终端用户带来更快的补丁和更高的补丁采用率。

这些数据将使研究人员和公众更容易跟踪修复程序从初始报告一直到用户设备所需的时间（如果修复程序从未到达，这一点尤其重要！）

不会——我们预计在该试验的初始阶段，未修复的错误可能会引起更多公众关注。我们想明确表示：在截止日期之前，不会发布任何技术细节、概念验证代码或我们认为会实质性帮助发现的信息。报告透明度是一种警报，而不是攻击者的蓝图。

我们理解，对于某些没有下游生态系统的供应商，此政策可能会为只有他们能解决的漏洞带来不受欢迎的噪音和关注。然而，这些供应商现在只占Project Zero报告的漏洞的少数。我们认为公平、简单、一致和透明的政策的好处超过了给少数供应商带来不便的风险。

也就是说，在2025年，我们希望行业共识是软件中存在漏洞既不令人惊讶也不令人震惊。终端用户比以往任何时候都更了解安全更新的重要性。任何中等复杂度的系统都会存在漏洞，过去被认为坚不可摧的系统事后被证明存在漏洞，这已被广泛接受为事实。

这是一项试验，我们将密切监控其效果。我们希望它能实现我们的最终目标：一个更安全的生态系统，漏洞不仅在上游代码库中得到修复，而且在人们日常使用的设备、系统和服务上得到修复。我们期待分享我们的发现，并继续改进我们的政策，以应对不断变化的安全格局带来的挑战。