Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด
นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่
- กรณีที่แพตช์ไม่สมบูรณ์ ก่อนหน้านี้นักวิจัยอาจจะนับเวลาต่อจากช่องโหว่เดิม หรือเปิดเป็นช่องโหว่ใหม่ซึ่งนับเวลา 90 วันใหม่ หลังจากนี้จะนับเวลาต่อจากช่องโหว่เดิมเสมอ
- กรณีที่ผู้ผลิตขอเวลาเพิ่มเติมหลัง 90 วัน เนื่องจากกำลังออกแพตช์ (grace period) ก่อนหน้านี้ทาง Project Zero จะให้เวลาอีกระยะหนึ่งหลังออกแพตช์ แต่นโยบายใหม่จะเปิดช่องโหว่ทันทีหลังออกแพตช์
- กรณีครบกำหนด 90 วัน ก่อนหน้านี้นักวิจัยเป็นผู้ตัดสินใจว่าจะเปิดเผยช่องโหว่เมื่อใด แต่หลังจากนี้กระบวนการเปิดช่องโหว่จะเป็นระบบอัตโนมัติ
ทาง Project Zero ชี้แจงเหตุผลว่าหลายกรณีผู้ผลิตพยายามออกแพตช์ให้เร็วไว้ก่อนแต่แพตช์กลับไม่ครอบคลุมการโจมตี
ที่มา - Project Zero