Google Project Zero測試新漏洞揭露政策，將提早公布部份細節

Google專門揭露漏洞的Project Zero小組宣布測試一項新作法，將在通知原廠大約1星期後公告漏洞的部分細節，即使正常延遲揭露期大限還沒到，藉此加速用戶端的漏洞修補速度。

Google Project Zero在2021年更新漏洞揭露政策成為現行的「90+30」，即給廠商90天修補釋出更新，以及30天用戶端安裝更新版，以加速廠商修補漏洞的速度。然而Google發現這存在一項重大問題，稱之為「上游修補空窗」（upstream patch gap），這是出於上游廠商釋出修補程式，但負責將修補程式提供給使用者的下游廠商尚未將其整合到產品產生的空白期。

為了縮短這個空窗期，Project Zero發布了新的測試政策，稱為通報透明度（Reporting Transparency）。新政策即日開始。

新的通報透明度政策下，Google計畫在通報原廠漏洞約1星期後，Project Zero就會公布部份漏洞資料。這些資訊包括接獲漏洞報告的廠商或開源專案、影響的產品、報告成立的日期，以及90天揭露期的大限日期。

Google強調，新政策並不影響現行揭露時程，廠商和開源專案仍然獲得90+30的揭露延遲期。而Google AI抓漏工具Big Sleep，也將包含在這次測試中。

Google相信這能提早告知下游廠商相關風險、縮短上游修補空窗，Google也會針對Project Zero處理的漏洞，對下游廠商提供額外資訊來源，用以追蹤可能影響其用戶的問題。

Google Project Zero單方面啟動這項計畫，可能引發廠商的反彈。例如可能幫助駭客更早發現漏洞，對此Google補充，他們不會提供技術細節、概念驗證程式碼或任何他們認為會加速漏洞曝光的資訊。該公司了解有部份廠商並沒有下游生態體系，消息公布會引發爭議，並危及他們獨家修補的計畫。但Google說這些廠商只佔Project Zero處理漏洞的少數，「簡單、公平、一致化、透明」政策的好處將能合理化對少數廠商的不便。但Google表示，會持續監控實施效果。

Google本周並宣布，AI抓漏專案Big Sleep已經找到20項漏洞。但基於漏洞揭露政策，Google並未說明是哪些漏洞。