谷歌Project Zero 2025年试行报告透明度政策 缩短补丁延迟

谷歌Project Zero宣布报告透明度试行政策 应对补丁延迟问题

加利福尼亚州山景城 – 2025年7月 – 由Tim Willis领导的谷歌Project Zero团队公布了一项新的**《报告透明度》试行政策**，旨在减少**「上游补丁延迟」（upstream patch gap）**——这一漏洞修复过程中的关键延误。该举措通过提升上游供应商与下游依赖方之间的透明度，加速向终端用户交付安全补丁。

政策更新的关键细节

在现有的90+30披露模型下，供应商有90天时间修复漏洞，并在提前发布补丁的情况下额外获得30天的补丁推广期。此次试行新增了早期公开通知机制：

• 在报告漏洞后的一周内，Project Zero将公开披露：
  • 接收报告的供应商或开源项目名称；
  • 受影响的产品；
  • 报告提交日期及90天披露截止期限。

Google Big Sleep（谷歌DeepMind与Project Zero的合作项目）也将采用这一政策。漏洞报告将通过Google Big Sleep问题追踪器进行跟踪。

应对「上游补丁延迟」

**「上游补丁延迟」**指的是上游供应商发布补丁与下游依赖方将其集成到产品之间的延迟。这一延迟显著延长了漏洞的生命周期，即使补丁已发布，终端用户仍可能长期暴露在风险中。

「对终端用户而言，漏洞并非在供应商A向供应商B发布补丁时就已修复，而是在他们下载并安装更新后才真正解决。」Willis解释道，「为了缩短这一链条，我们必须解决上游延迟问题。」

目标与预期影响

《报告透明度》试行政策的主要目标包括：

• 提升透明度：通过早期信号通知下游依赖方上游漏洞的存在；
• 促进沟通：鼓励供应商之间建立更强的沟通渠道，加快补丁开发与推广；
• 公开追踪：允许公众监督补丁到达终端用户的时间，尤其是在补丁未能及时交付的情况下。

Project Zero预计，此次试行将推动安全生态系统更加主动，最终缩短关键漏洞的暴露窗口期。

安全影响与行业反响

尽管该试行政策可能在初期引发公众对未修复漏洞的关注，Project Zero强调，在披露截止期前不会公开技术细节、概念验证代码或可利用漏洞的信息。该政策旨在作为预警机制，而非攻击者的「路线图」。

「我们相信，公平、简洁且透明的政策带来的益处，远超过对少数供应商造成的不便。」Willis表示，「在2025年，软件中存在漏洞既不令人意外，也不应引发恐慌。终端用户比以往更关注安全更新，且普遍接受复杂系统难免存在漏洞的现实。」

下一步与监测

作为一项试行政策，Project Zero将密切监测其效果并根据需要调整。最终目标是构建一个更安全的生态系统，确保漏洞不仅在上游代码库中得到修复，更在终端用户每日使用的设备、系统和服务中及时解决。

安全专家及供应商可在试行期间提供反馈。更多详情，请访问Project Zero报告透明度页面。