Project Zero：2025版政策与披露机制

发布时间：2025年7月29日星期二
发布者：Tim Willis，谷歌Project Zero团队

2021年，我们将漏洞披露政策更新为现行的"90+30"模式，目标是推动更快速且彻底的补丁开发，并提升补丁采用率。虽然已取得进展，但一个重大挑战依然存在：修复程序实际到达终端用户设备所需的时间。

这种延迟通常被称为"补丁差距"，是一个复杂的问题。许多人认为补丁差距是指安全漏洞修复程序发布后到用户安装相关更新之间的时间。然而，我们的工作揭示了一个更关键的前期延迟：“上游补丁差距”。这是指上游供应商已提供修复程序，但最终负责向用户推送修复程序的下游依赖方尚未将其集成到最终产品中的时间段。

随着Project Zero近期工作聚焦于芯片组及其驱动程序等基础性上游技术，我们观察到这种上游差距显著延长了漏洞生命周期。对终端用户而言，当供应商A向供应商B发布补丁时，漏洞并未被修复；只有当用户下载更新并将其安装到设备上时，漏洞才算真正修复。要缩短整个链条，我们需要解决上游延迟问题。

为此，我们宣布推出一项新的试验政策：报告透明度。

试验政策：报告透明度

我们的核心90天披露截止日期将继续有效，但我们在流程开端增加了一个新步骤。

从今天起，在向供应商报告漏洞后约一周内，我们将公开分享漏洞发现信息，包括：

本次试验保持现有的90+30政策，意味着供应商仍有90天时间修复漏洞，若在截止日期前完成修复，还可获得30天的补丁采用期。

谷歌DeepMind与谷歌Project Zero的合作项目Google Big Sleep也将在其漏洞报告中试验该政策，其问题追踪器地址为goo.gle/bigsleep。

本次试验的主要目标是通过提高透明度来缩小上游补丁差距。通过提前发出漏洞已向上游报告的信号，我们能更好地通知下游依赖方。对于我们的小部分漏洞，他们将拥有额外的信息源来监控可能影响用户的漏洞。

我们希望此次试验能促进上下游厂商之间建立更强大的安全沟通渠道，从而加快补丁速度并提高终端用户的补丁采用率。这些数据将使研究人员和公众更容易追踪修复程序从初始报告到用户设备所需的时间（如果修复程序始终未能送达，这一点尤为重要！）。

不会——我们预计在试验初期，未修复漏洞可能会受到更多公众关注。但需要明确的是：在截止日期之前，我们不会发布任何技术细节、概念验证代码或我们认为会实质性协助漏洞发现的信息。报告透明度是一种预警机制，而非攻击者的蓝图。

我们理解对于没有下游生态系统的部分供应商，该政策可能为其漏洞带来不必要的关注。然而，这些供应商现在只占Project Zero报告漏洞的少数。我们相信，公平、简单、一致且透明的政策带来的益处，超过对少数供应商造成不便的风险。

值得注意的是，到2025年，我们希望行业共识是：软件中存在漏洞既不令人惊讶也不应引起恐慌。终端用户比以往任何时候都更了解安全更新的重要性。任何中等复杂度的系统都会存在漏洞，过去被认为坚不可摧的系统事后也被证明存在漏洞，这已成为广泛接受的事实。

这是一项试验，我们将密切关注其效果。希望它能实现我们的最终目标：建立更安全的生态系统，使漏洞不仅在上游代码库中得到修复，更能在人们日常使用的设备、系统和服务上完成修复。我们期待分享研究结果，并持续完善政策以应对不断变化的安全形势。