headless 曰く、

GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事、 SlashGearの記事、 The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。