谷歌Project Zero團隊以披露大量嚴重漏洞而被人們所熟知，但也因為嚴格的快速披露政策而遭到了行業內的批評。於是2020年的時候，谷歌安全團隊試圖制定新的政策，將問題披露的寬限期給足了整整90天。即便如此，谷歌還是對過去五年的政策表現感到滿意，指出有97.9%的漏洞報告在當前的90天披露政策下得到了有效的修復。

（題圖via 9to5Google）

相比之下，2014 年有些bug 拖了六個月、甚至更長的時間來解決。不過在審查了“複雜且經常引起爭議”的漏洞披露政策之後，谷歌還是決定在2020 年做出一些改變。

那些易被曝光漏洞的企業，將被給予默認90 天的緩衝時間，而無論其將於何時修復相關bug 。若企業順利或提前完成了修復，也可以與穀歌Project Zero 取得聯繫，以提前公佈漏洞詳情。

● 廠家在20 天內修復了bug？谷歌將在第90天公佈漏洞詳情；

● 廠家在90 天內修復了bug？谷歌也將在第90 天公佈漏洞詳情！

當然，在爭取推動“更快的補丁開發”流程的同時，Project Zero 還希望全面提升補丁程序的採用率。

（1）現有政策下，谷歌希望供應商能夠快速開發補丁，並製定適當的流程，以將之交付給最終客戶，我們將繼續緊迫地追求這一點。

（2）然而有太多次，供應商只是簡單的記錄了漏洞，而不考修改或從根本上修復已曝光的漏洞。有鑑於此，Project Zero 團隊希望推動更快的補丁開發，以防別有用心者輕易地向用戶發動大大小小的攻擊。

（3）改進後的新政策指出，發現漏洞之後，最終用戶的安全性不會就此得到改善，直到bug 得到適當的修復。只有最終用戶意識到相關bug，並在他們的設備上實施了修補，才能夠從漏洞修復中得到益處。

最後，在新政策轉入“長期實施”之前，Google 將給予12 個月的試用。