Project Zero：政策与披露：2025版

发布时间：2025年7月29日，星期二上午7:54
作者：Tim Willis，Google Project Zero

2021年，我们将漏洞披露政策更新为当前的"90+30"模式。我们的目标是推动更快且彻底的补丁开发，并提高补丁采用率。虽然我们已经看到了进展，但一个重大挑战仍然存在：修复程序实际到达最终用户设备所需的时间。

这种延迟通常被称为"补丁差距"，是一个复杂的问题。许多人认为补丁差距是指安全漏洞修复程序发布与用户安装相关更新之间的时间。然而，我们的工作突显了一个关键的早期延迟：“上游补丁差距”。这是上游供应商已有可用修复程序，但最终负责向用户提供修复程序的下游依赖方尚未将其集成到最终产品中的时期。

随着Project Zero最近的工作集中在基础的上游技术（如芯片组及其驱动程序）上，我们观察到这种上游差距显著延长了漏洞的生命周期。对于最终用户来说，当供应商A向供应商B发布补丁时，漏洞并未修复；只有当用户下载更新并将其安装到设备上时，漏洞才被修复。为了缩短整个链条，我们需要解决上游延迟问题。

为了解决这个问题，我们宣布了一项新的试行政策：报告透明化。

试行：报告透明化

我们的核心90天披露截止日期将继续有效。但是，我们在流程的开始增加了一个新步骤。

从今天开始，在向供应商报告漏洞的大约一周内，我们将公开分享发现了一个漏洞。我们将分享：

此试行政策维持我们现有的90+30政策，意味着供应商在漏洞披露前仍有90天的时间来修复错误，如果错误在截止日期前修复，则有30天的补丁采用期。

Google Big Sleep（Google DeepMind和Google Project Zero之间的合作项目）也将在其漏洞报告中试行此政策。Google Big Sleep的问题跟踪器位于goo.gle/bigsleep。

此试行的主要目标是通过增加透明度来缩小上游补丁差距。通过提供漏洞已向上游报告的早期信号，我们可以更好地通知下游依赖方。对于我们的一小部分问题，他们将有一个额外的信息来源来监控可能影响其用户的问题。

我们希望这一试行将鼓励在上游供应商和下游依赖方之间建立更强的安全相关沟通渠道，从而为最终用户带来更快的补丁和更高的补丁采用率。

这些数据将使研究人员和公众更容易跟踪修复程序从初始报告一直到用户设备所需的时间（如果修复程序从未到达，这一点尤其重要！）。

不会——我们预计在此试行的初始阶段，公众对未修复错误的关注可能会增加。我们想明确表示：在截止日期之前，不会发布任何技术细节、概念验证代码或我们认为会 materially 协助发现的信息。报告透明化是一种警报，而不是攻击者的蓝图。

我们理解，对于某些没有下游生态系统的供应商，此政策可能会为他们只能自行解决的漏洞带来不必要的噪音和关注。然而，这些供应商现在只占Project Zero报告的漏洞的少数。我们认为，一个公平、简单、一致和透明的政策的好处 outweigh 对少数供应商造成不便的风险。

也就是说，在2025年，我们希望行业共识是软件中存在漏洞既不令人惊讶也不令人震惊。最终用户比以往任何时候都更意识到安全更新的重要性。任何中等复杂度的系统都会有漏洞，过去被认为坚不可摧的系统事后也被证明存在漏洞，这已被广泛接受为事实。

这是一个试行政策，我们将密切监控其效果。我们希望它能实现我们的最终目标：一个更安全的生态系统，漏洞不仅在上游代码库中得到修复，而且在人们日常使用的设备、系统和服务中得到修复。我们期待分享我们的发现，并继续发展我们的政策，以应对不断变化的安全格局带来的挑战。