经过那次事件,谷歌似乎也有反省的姿态。不久后,谷歌就宣布修改Project Zero在公开漏洞方面的规定,90天反应期这一标准将变得更加灵活,最长延长期达到14天,条件是软件发行商承诺能够在这14天内发布补丁。
随后,谷歌也曾在安全团队的博客中写道:“只有在软件发行商严重超过约定期限时,才会公开披露零日漏洞。”
事实上,就在不久前,谷歌就对苹果展现出了“宽宏大量”的一面。今年6月,Project Zero发现了苹果MacOS及iOS系统核心部分漏洞,并报告给苹果。苹果最初要求60天宽限期,谷歌同意了,双方约定的截止日期为9月21日。
但到了这个日期,苹果又犯拖延症,谷歌再次为其延长了宽限期。事实上,时至今日,苹果已经获得了将近5个月的宽限期,当然苹果现在已经解决了这一问题,在刚刚过去的两周时间内先后发布了iOS 10.1和MacOS 10.12.1。
Project Zero公布MacOS及iOS核心漏洞
然而,最近几天的事件似乎又让剧情出现了反转。
有外媒调侃道:别被谷歌逮到,只要给它发现一丝丝别人可能利用你家漏洞的机会,你就完了。
不过,也有人认为谷歌这么做很公平。一位名叫Jim Shaver的IT安全专家在博客中指出,反应期的长度一般都是根据修补漏洞的难度而定,反应期过短,开发商根本来不及开发补丁,反应期过长,开发商就会缺乏动力。
“问题在于,如果谷歌纵容微软,那么90天会变成120天、150天……事情当然不一定会这样发展,但很可能会让开发商拖拖拉拉,与此同时,用户却要为漏洞承担风险,而且浑然不知。”
小编推荐阅读
