Project Zero：政策与披露：2025年版

发布时间： 2025年7月29日，星期二

政策与披露：2025年版

作者： Tim Willis，谷歌Project Zero

2021年，我们将漏洞披露政策更新为当前的"90+30"模式。我们的目标是推动更快速且彻底的补丁开发，并提高补丁采用率。虽然我们看到了进展，但一个重大挑战仍然存在：修复程序实际到达最终用户设备所需的时间。

这种延迟通常被称为"补丁差距"，是一个复杂的问题。许多人认为补丁差距是指针对安全漏洞的修复程序发布与用户安装相关更新之间的时间。然而，我们的工作突显了一个关键的早期延迟：“上游补丁差距”。这是上游供应商已有可用修复程序，但最终负责向用户提供修复程序的下游依赖方尚未将其集成到最终产品中的时期。

随着Project Zero最近的工作集中在基础的上游技术（如芯片组及其驱动程序）上，我们观察到这种上游差距显著延长了漏洞的生命周期。对于最终用户来说，当供应商A向供应商B发布补丁时，漏洞并未修复；只有当用户下载更新并将其安装到设备上时，漏洞才算修复。为了缩短整个链条，我们需要解决上游延迟问题。

为了解决这个问题，我们宣布了一项新的试验政策：报告透明度。

我们的核心90天披露截止日期将继续有效。但是，我们在流程开始阶段增加了一个新步骤。

从今天开始，在向供应商报告漏洞后大约一周内，我们将公开分享发现了一个漏洞。我们将分享：

该试验维持我们现有的90+30政策，意味着供应商仍有90天的时间来修复漏洞，然后才会被披露；如果漏洞在截止日期前修复，则有30天的补丁采用期。

谷歌Big Sleep（谷歌DeepMind与谷歌Project Zero的合作项目）也将在其漏洞报告中试验此政策。谷歌Big Sleep的问题跟踪器位于 goo.gle/bigsleep。

该试验的主要目标是通过增加透明度来缩小上游补丁差距。通过提供漏洞已向上游报告的早期信号，我们可以更好地通知下游依赖方。对于我们的一小部分问题，他们将有一个额外的信息来源来监控可能影响其用户的问题。

我们希望该试验将鼓励在上游供应商和下游依赖方之间建立更强大的安全相关沟通渠道，从而为最终用户带来更快的补丁和更高的补丁采用率。

这些数据将使研究人员和公众更容易跟踪修复程序从初始报告一直到用户设备所需的时间（如果修复程序从未到达，这一点尤其重要！）。

不会——我们预计在该试验的初始阶段，未修复的漏洞可能会引起更多公众关注。我们希望明确：在截止日期之前，不会发布任何技术细节、概念验证代码或我们认为会实质性帮助攻击者发现漏洞的信息。报告透明度是一种警报，而不是攻击者的蓝图。

我们理解，对于一些没有下游生态系统的供应商来说，此政策可能会为只有他们能解决的漏洞带来不受欢迎的噪音和关注。然而，这些供应商现在只占Project Zero报告的漏洞的少数。我们相信，一个公平、简单、一致和透明的政策的好处超过了给少数供应商带来不便的风险。

也就是说，在2025年，我们希望行业共识是：软件中存在漏洞既不令人惊讶也不令人震惊。最终用户比以往任何时候都更了解安全更新的重要性。任何中等复杂度的系统都会存在漏洞，过去被认为坚不可摧的系统事后也被证明存在漏洞，这已被广泛接受为事实。

这是一项试验，我们将密切关注其效果。我们希望它能实现我们的最终目标：建立一个更安全的生态系统，漏洞不仅在上游代码库中得到修复，而且在人们日常使用的设备、系统和服务上得到修复。我们期待分享我们的发现，并继续改进我们的政策，以应对不断变化的安全格局带来的挑战。

发布时间： 上午7:54