Google 去年推出了一项名为 Project Zero 的计划。该计划会让 Google 工程师找出任何软件服务存在的所谓“0 日”漏洞（开发者无暇修补的此前未知的安全漏洞），然后给漏洞责任方 90 天的窗口时间来修复漏洞。一旦该时间过去，Google 就会启动机制自动公布该漏洞。

Google 原以为 3 个月的时间应该足以修复好漏洞，但是此前 Project Zero 两度在微软未及时修补好漏洞的情况下将其公诸于众引发了后者的不满，称这种一刀切的行为将用户置于危险的境地。也许是在这种背景下，Google修改 了披露规则，在原有 90 天的基础上又增加了 14 天的宽限期。

在这一新规下，如果漏洞责任方主动联系 Google，并指出漏洞正在被修复但在 90 天的时间窗口内无法完成的话，Google 将会再提供 14 天的宽限期供前者给软件打好补丁。此外，针对截止日期恰逢周末或节假日的情况 Google 也会顺延。另外，Google 也指出，在极端情况下截止期限也可能提前或者拖后。

Google 并不是唯一一家披露漏洞的组织。比方说 Zero Day Initiative 以及卡内基梅隆大学的计算机紧急响应中心也有各自的漏洞披露机制。前者给修复者的时间较为宽松，可以有 120 天，而后者对于修复者来说就是唐僧的紧箍咒了，只有 45 天。Google 在这当中的时间应该是适中的。当然，时间定多长似乎并没有一个理想的固定期限，因为漏洞披露应该是越短越好，而漏洞修复视具体情况需要不同的时间。

谷歌公布苹果漏洞

谷歌Project Zero漏洞研究团队今日公布了苹果数个0day漏洞及技术细节，该漏洞通过提升系统权限进而控制整个受害者Mac计算机。值得一提的是，就在两周前，谷歌刚刚披露了微软Windows8.1 0day漏洞，引发争议。点我查看更多内容

谷歌公布苹果漏洞

在微软还未来得及发布漏洞补丁时，谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞，该漏洞可导致权限提升。谷歌一系列的漏洞公布惹怒了微软。点我查看更多内容

[消息来源：36kr]