據外媒ZDNet報導，谷歌Project Zero團隊表示，在公開披露的90天截止日期來臨之前，他們在其他軟件中發現並向各自供應商報告的大約95.8％的安全漏洞得到修復。在周三分享的統計數據中，谷歌的精英安全團隊表示，從2014年7月17日（Project Zero創建日期）到7月30日-其研究人員發現並向多家硬件和軟件供應商報告了總計1585個漏洞。

谷歌表示，供應商只在截止日期來臨之前未能為66份報告提交補丁。因此，在向用戶提供修復之前，其研究人員被迫公開漏洞技術細節。

在Project Zero歷史的前幾個月，這個標準的截止日期是非常嚴格的90天。但是，從2015年2月13日開始，谷歌又增加了14天的寬限期，可以在某些條件下延長截止日期。

谷歌表示，這一寬限期的引入改善了他們報告漏洞的工作。公司有更多的時間來提供補丁，14天的時間也考慮了理論上準備好和可用的更新，但供應商按照嚴格的每月推出安排它們，這無意中打破了90天的最後期限。這一截止日期調整也對該計劃的整體效率和統計數據產生了影響。

“如果我們將分析限制在寬限期延長是一個選項的時間段（2015年2月13日到2019年7月30日），那麼我們有1434個修復問題，”谷歌Project Zero團隊表示。“其中1224個在90天內被修復，另外174個問題在14天的寬限期內得到修復。這留下了36個漏洞，這些漏洞在沒有補丁可供用戶使用的情況下被披露，換言之97.5％的問題在截止日期前被修復。”

Project Zero計劃最近慶祝了它的五歲生日，它被用來審核Google內部使用的硬件和軟件，然後向供應商報告漏洞。

谷歌安全研究人員發現的任何漏洞記錄在項目的漏洞跟踪器上，然後報告給供應商。有關這些漏洞報告的信息（有時包括高度技術性的詳細信息和用於重現漏洞的概念驗證代碼）在供應商發布修復程序後或在截止日期沒有修補程序時公佈。

在過去幾年中，Project Zero的研究人員因發布這些高度詳細的漏洞描述和概念驗證（PoC）漏洞利用代碼而受到批評，即使漏洞已得到修復。許多安全專家認為，這些報告幫助攻擊者創建攻擊以對用戶發起攻擊。

但在本週發布的FAQ頁面中，Project Zero團隊為自己的行為辯護，聲稱漏洞報告有助於防御者而不是攻擊者。

“攻擊者明顯有動力花時間分析安全補丁以了解漏洞（通過源代碼審查和二進制逆向工程），即使供應商和研究人員試圖隱瞞技術數據，他們也會快速建立完整的詳細信息，”Project Zero研究人員說。

他們補充說：“由於防御者與攻擊者之間關於漏洞信息的效用非常不同，我們並不認為防御者通常能夠承擔與攻擊者相同的深度分析。我們從維權者那裡獲得的反饋意見是，他們希望獲得有關他們及其用戶面臨的風險的更多信息。”

因此，從谷歌的角度來看，發布這些細節並不能幫助攻擊者，因為他們中的許多人無論如何都會探測更改日誌和應用程序二進製文件，但他們肯定會幫助那些想要部署緩解或檢測規則的公司和系統管理員。

“這是一個棘手的平衡，但從本質上講，我們甚至想要公平競爭，”Project Zero的研究人員說。

此外，Project Zero團隊還澄清說，當漏洞報告公開時，儘管被修復或未修復，報告中包含的PoC代碼並不是完整的漏洞利用鏈。相反，他們只發布“利用鏈的一部分”，攻擊者“需要進行大量的額外研究和開發才能完成攻擊並使其可靠”。

“任何具有資源和技術技能的攻擊者將漏洞報告轉變為可靠的利用鍊或通常都能構建類似的利用鏈，即使我們從未公開過該漏洞，”Project Zero團隊表示。

此外，Project Zero團隊還藉此機會建議其他安全研究人員根據他們的建議，並開始使用固定的披露截止日期進行漏洞報告。“我們認為隨著越來越多的研究人員開始在他們的漏洞報告中納入時間表預期，行業慣例將會得到改善，”Project Zero說。

“安全研究人員可能選擇不對其漏洞報告採用披露截止日期政策有很多充分理由，但總體而言，我們已經看到了採用披露截止日期的許多積極成果，我們當然可以將其推薦給其他安全研究人員。 ”

然而，這些並不是谷歌研究人員共享的唯一信息。Project Zero最近發布的FAQ頁面的其他細節和主要討論點如下：

當Project Zero研究人員報告主動利用的零日漏洞時，供應商截止日期從90天變為7天。

Project Zero分兩次打破了90天的披露截止日期- 分別為task_t iOS問題（145天）以及Meltdown和Spectre漏洞（216天）。

Project Zero PoC不包括完整的漏洞利用鏈。

披露漏洞細節並不能在短期內幫助攻擊者。

防御者擁有從漏洞報告中獲得最大收益的人。

谷歌希望其漏洞報告有助於提高整體安全性，例如供應商投資減少攻擊面，利用緩解措施，改進沙盒和修復漏洞類。

如果需要，Project Zero可以主動幫助供應商進行修復。

Project Zero還會查找並報告谷歌產品中的漏洞，並通過谷歌的公共漏洞獎勵報告。

非Project Zero項目谷歌員工還可以訪問Project Zero漏洞報告（根據FAQ：“在20％項目中，團隊內部工作的少數安全工程師可以訪問Project Zero的漏洞報告”）。