Google “仁心大发”，可酌情增加 14 天漏洞曝光宽限期

前段时间，Google 的安全小分队 Project Zero 和微软以及苹果之间关于漏洞修补的期限问题闹得沸沸扬扬，Google 严格恪守的 90 天修复期限被认为有些太不近人情，招致了很多批评和质疑。

Google 在今天终于松了一下口风，修改了漏洞曝光政策，表示：

在 90 天宽限期到期之前，如果厂商确实正在进行修补，或准备补丁推送工作，可获得额外 14 天的宽限期。同时，如果截止日期落在周末和假期，则自动顺延至下一个工作日。

同时，Google 公布的一组数据显示，自 Project Zero 项目设立以来，共有 154 个漏洞被修复，其中 85% 是在 90 天的宽限期内修复的。而在 2014 年 10 月 1 日以后公布的 73 项漏洞中，90 天内修复的比例则高达 95%。

设定漏洞曝光截止日期一直是行业通行的标准，包括卡内基梅隆大学 CERT（计算机紧急应对小组）设定的期限是 45 天，雅虎设定的期限同样是 90 天，而惠普 ZDI 的期限则稍长一些，为 120 天。最后期限政策加速了厂商向最终用户推送补丁的速度。

不过软件厂商也有着自己固定的漏洞修补节奏，比如微软著名的 “周二补丁日 ”，即微软会固定在每个月的第二个星期二发布系统更新补丁。但这一固定的修复时间会给网络造成不小的压力，同时也被网络管理人员称为 “黑色星期二”。

Google 在修改漏洞曝光政策的同时，也保留了根据漏洞严重程度提前或推后漏洞公开时间的权利。