據(jù)外媒ZDNet報(bào)道，谷歌Project Zero團(tuán)隊(duì)表示，在公開(kāi)披露的90天截止日期來(lái)臨之前，他們?cè)谄渌浖邪l(fā)現(xiàn)并向各自供應(yīng)商報(bào)告的大約95.8％的安全漏洞得到修復(fù)。在周三分享的統(tǒng)計(jì)數(shù)據(jù)中，谷歌的精英安全團(tuán)隊(duì)表示，從2014年7月17日（Project Zero創(chuàng)建日期）到7月30日 - 其研究人員發(fā)現(xiàn)并向多家硬件和軟件供應(yīng)商報(bào)告了總計(jì)1585個(gè)漏洞。

谷歌表示，供應(yīng)商只在截止日期來(lái)臨之前未能為66份報(bào)告提交補(bǔ)丁。因此，在向用戶提供修復(fù)之前，其研究人員被迫公開(kāi)漏洞技術(shù)細(xì)節(jié)。在Project Zero歷史的前幾個(gè)月，這個(gè)標(biāo)準(zhǔn)的截止日期是非常嚴(yán)格的90天。但是，從2015年2月13日開(kāi)始，谷歌又增加了14天的寬限期，可以在某些條件下延長(zhǎng)截止日期。

谷歌表示，這一寬限期的引入改善了他們報(bào)告漏洞的工作。公司有更多的時(shí)間來(lái)提供補(bǔ)丁，14天的時(shí)間也考慮了理論上準(zhǔn)備好和可用的更新，但供應(yīng)商按照嚴(yán)格的每月推出安排它們，這無(wú)意中打破了90天的最后期限。這一截止日期調(diào)整也對(duì)該計(jì)劃的整體效率和統(tǒng)計(jì)數(shù)據(jù)產(chǎn)生了影響。

“如果我們將分析限制在寬限期延長(zhǎng)是一個(gè)選項(xiàng)的時(shí)間段（2015年2月13日到2019年7月30日），那么我們有1434個(gè)修復(fù)問(wèn)題，”谷歌Project Zero團(tuán)隊(duì)表示。“其中1224個(gè)在90天內(nèi)被修復(fù)，另外174個(gè)問(wèn)題在14天的寬限期內(nèi)得到修復(fù)。這留下了36個(gè)漏洞，這些漏洞在沒(méi)有補(bǔ)丁可供用戶使用的情況下被披露，換言之97.5％的問(wèn)題在截止日期前被修復(fù)。”

Project Zero計(jì)劃最近慶祝了它的五歲生日，它被用來(lái)審核Google內(nèi)部使用的硬件和軟件，然后向供應(yīng)商報(bào)告漏洞。

谷歌安全研究人員發(fā)現(xiàn)的任何漏洞記錄在項(xiàng)目的漏洞跟蹤器上，然后報(bào)告給供應(yīng)商。有關(guān)這些漏洞報(bào)告的信息（有時(shí)包括高度技術(shù)性的詳細(xì)信息和用于重現(xiàn)漏洞的概念驗(yàn)證代碼）在供應(yīng)商發(fā)布修復(fù)程序后或在截止日期沒(méi)有修補(bǔ)程序時(shí)公布。

在過(guò)去幾年中，Project Zero的研究人員因發(fā)布這些高度詳細(xì)的漏洞描述和概念驗(yàn)證（PoC）漏洞利用代碼而受到批評(píng)，即使漏洞已得到修復(fù)。許多安全專家認(rèn)為，這些報(bào)告幫助攻擊者創(chuàng)建攻擊以對(duì)用戶發(fā)起攻擊。

但在本周發(fā)布的FAQ頁(yè)面中，Project Zero團(tuán)隊(duì)為自己的行為辯護(hù)，聲稱漏洞報(bào)告有助于防御者而不是攻擊者。

“攻擊者明顯有動(dòng)力花時(shí)間分析安全補(bǔ)丁以了解漏洞（通過(guò)源代碼審查和二進(jìn)制逆向工程），即使供應(yīng)商和研究人員試圖隱瞞技術(shù)數(shù)據(jù)，他們也會(huì)快速建立完整的詳細(xì)信息，”Project Zero研究人員說(shuō)。

他們補(bǔ)充說(shuō)：“由于防御者與攻擊者之間關(guān)于漏洞信息的效用非常不同，我們并不認(rèn)為防御者通常能夠承擔(dān)與攻擊者相同的深度分析。我們從維權(quán)者那里獲得的反饋意見(jiàn)是，他們希望獲得有關(guān)他們及其用戶面臨的風(fēng)險(xiǎn)的更多信息。”

因此，從谷歌的角度來(lái)看，發(fā)布這些細(xì)節(jié)并不能幫助攻擊者，因?yàn)樗麄冎械脑S多人無(wú)論如何都會(huì)探測(cè)更改日志和應(yīng)用程序二進(jìn)制文件，但他們肯定會(huì)幫助那些想要部署緩解或檢測(cè)規(guī)則的公司和系統(tǒng)管理員。

“這是一個(gè)棘手的平衡，但從本質(zhì)上講，我們甚至想要公平競(jìng)爭(zhēng)，”Project Zero的研究人員說(shuō)。

此外，Project Zero團(tuán)隊(duì)還澄清說(shuō)，當(dāng)漏洞報(bào)告公開(kāi)時(shí)，盡管被修復(fù)或未修復(fù)，報(bào)告中包含的PoC代碼并不是完整的漏洞利用鏈。相反，他們只發(fā)布“利用鏈的一部分”，攻擊者“需要進(jìn)行大量的額外研究和開(kāi)發(fā)才能完成攻擊并使其可靠”。

“任何具有資源和技術(shù)技能的攻擊者將漏洞報(bào)告轉(zhuǎn)變?yōu)榭煽康睦面溁蛲ǔ６寄軜?gòu)建類似的利用鏈，即使我們從未公開(kāi)過(guò)該漏洞，”Project Zero團(tuán)隊(duì)表示。

此外，Project Zero團(tuán)隊(duì)還借此機(jī)會(huì)建議其他安全研究人員根據(jù)他們的建議，并開(kāi)始使用固定的披露截止日期進(jìn)行漏洞報(bào)告。“我們認(rèn)為隨著越來(lái)越多的研究人員開(kāi)始在他們的漏洞報(bào)告中納入時(shí)間表預(yù)期，行業(yè)慣例將會(huì)得到改善，”Project Zero說(shuō)。

“安全研究人員可能選擇不對(duì)其漏洞報(bào)告采用披露截止日期政策有很多充分理由，但總體而言，我們已經(jīng)看到了采用披露截止日期的許多積極成果，我們當(dāng)然可以將其推薦給其他安全研究人員。”

然而，這些并不是谷歌研究人員共享的唯一信息。Project Zero最近發(fā)布的FAQ頁(yè)面的其他細(xì)節(jié)和主要討論點(diǎn)如下：

當(dāng)Project Zero研究人員報(bào)告主動(dòng)利用的零日漏洞時(shí)，供應(yīng)商截止日期從90天變?yōu)?天。

Project Zero分兩次打破了90天的披露截止日期 - 分別為task_t iOS問(wèn)題（145天）以及Meltdown和Spectre漏洞（216天）。

Project Zero PoC不包括完整的漏洞利用鏈。

披露漏洞細(xì)節(jié)并不能在短期內(nèi)幫助攻擊者。

防御者擁有從漏洞報(bào)告中獲得最大收益的人。

谷歌希望其漏洞報(bào)告有助于提高整體安全性，例如供應(yīng)商投資減少攻擊面，利用緩解措施，改進(jìn)沙盒和修復(fù)漏洞類。

如果需要，Project Zero可以主動(dòng)幫助供應(yīng)商進(jìn)行修復(fù)。

Project Zero還會(huì)查找并報(bào)告谷歌產(chǎn)品中的漏洞，并通過(guò)谷歌的公共漏洞獎(jiǎng)勵(lì)報(bào)告。

非Project Zero項(xiàng)目谷歌員工還可以訪問(wèn)Project Zero漏洞報(bào)告（根據(jù)FAQ：“在20％項(xiàng)目中，團(tuán)隊(duì)內(nèi)部工作的少數(shù)安全工程師可以訪問(wèn)Project Zero的漏洞報(bào)告”）。