谷歌Project Zero安全團隊今天對漏洞披露指南進行了調整，為每次安全漏洞披露增加了30天的緩衝期，這樣終端用戶就有足夠的時間來修補軟件，防止這些漏洞被攻擊者利用。

今天的這項調整對於安全領域來說非常重要，因為目前網絡安全社區的很多人都已採用Project Zero 的規則作為向軟件供應商、向公眾披露安全漏洞的非官方方法。在今天之前，谷歌Project Zero 的研究人員會給軟件廠商90 天的時間來修復一個安全漏洞。當bug 被修復後，或者在90 天時間窗口結束時，谷歌研究人員會在網上（在他們的bug 跟踪器上）公佈有關bug 的細節。

額外增加的30 天時間能夠讓讓受影響產品的用戶有時間更新他們的軟件，在一些複雜的企業網絡中，這種操作通常需要幾天或幾週的時間。Project Zero 團隊負責人Tom Willis 表示，過去曾有公司抱怨用戶應用補丁時缺乏足夠的緩衝時間。

過去Project Zero研究人員發布的漏洞細節通常會包括對漏洞工作原理的深入技術解釋，通常還會包括概念驗證代碼。儘管演示的漏洞代碼被刪減了，但它往往也為構建更高級的漏洞提供了基本的線框。

此外，Willis 表示，30 天的額外時間緩衝也將適用於零日漏洞，而不僅僅只是普通的bug。此前，Project Zero 會給公司7 個日曆日的時間來修補任何主動利用的漏洞（零日），然後才會在網上公佈該漏洞的詳細信息。

Willis 表示從2021 年開始，Project Zero 的研究人員將對零日應用同樣的30 天緩衝期，甚至願意在原來的7天披露期限上再增加3天，以便在一些罕見的情況下，給公司更多的時間來創建補丁。