Google放宽漏洞披露时限，给修补者增加14天宽限期

互联网的安全形势越来越严峻，而软件漏洞则是网络犯罪的直接突破口。比方说，卡巴斯基近日披露的网络犯罪团伙“Carbanak”就是利用远程执行的漏洞病毒向银行职员电脑植入木马来实施盗窃，共有上百家银行被盗走了总计10亿美元。

因此，及时发现漏洞成为网络安全的重要基础。为此，Google去年推出了一项名为Project Zero的计划。该计划会让Google工程师找出任何软件服务存在的所谓“0日”漏洞（开发者无暇修补的此前未知的安全漏洞），然后给漏洞责任方 90 天的窗口时间来修复漏洞。一旦该时间过去，Google就会启动机制自动公布该漏洞。

Google原以为3个月的时间应该足以修复好漏洞，但是此前Project Zero两度在微软未及时修补好漏洞的情况下将其公诸于众引发了后者的不满，称这种一刀切的行为将用户置于危险的境地。也许是在这种背景下，Google修改了披露规则，在原有90天的基础上又增加了14天的宽限期。

在这一新规下，如果漏洞责任方主动联系Google，并指出漏洞正在被修复但在90天的时间窗口内无法完成的话，Google将会再提供14天的宽限期供前者给软件打好补丁。此外，针对截止日期恰逢周末或节假日的情况Google也会顺延。另外，Google也指出，在极端情况下截止期限也可能提前或者拖后。

Google并不是唯一一家披露漏洞的组织。比方说Zero Day Initiative以及卡内基梅隆大学的计算机紧急响应中心也有各自的漏洞披露机制。前者给修复者的时间较为宽松，可以有120天，而后者对于修复者来说就是唐僧的紧箍咒了，只有45天。Google在这当中的时间应该是适中的。当然，时间定多长似乎并没有一个理想的固定期限，因为漏洞披露应该是越短越好，而漏洞修复视具体情况需要不同的时间。