Участник команды Project Zero Тим Виллис рассказал в блоге компании об изменениях политики работы. Проект Google по поиску уязвимостей увеличивает сроки публикации подробностей найденных проблем на дополнительные 30 дней.
У разработчиков остаются 90 дней для исправления обычных багов (с дополнительным 14-дневным периодом по запросу), но Google будет ждать ещё 30 дней перед тем, как раскрыть подробности найденной уязвимости.
Для уязвимостей нулевого дня тоже изменили сроки. Так, у разработчиков теперь есть 7 дней + 3 дня по запросу и ещё 30 перед публикацией технических подробностей бага.
В прошлом году компания Google, в надежде на скорое решение проблемы, разрешила разработчикам сдвигать дедлайны. Однако, Тим Виллис отметил, что компания не увидела особых изменений после такого нововведения. Команда Project Zero продолжала получать письма от разработчиков, которые были обеспокоены тем, что подробности уязвимости публикуются в то время, когда большинство пользователей ещё не успели установить необходимые патчи.
Теперь у всех разработчиков есть дополнительные 30 дней перед публикацией описания найденных проблем. Если учитывать запрос на продления срока, то на исправление проблемы у программистов есть 120 и 37 дней для обычных багов и уязвимостей нулевого дня соответственно, при условии, что они исправлены вовремя. Если исправления задерживаются, что Project Zero опубликует подробности через 90 и 7 дней, в зависимости от бага.
Введённые изменения действуют для текущего года, но могут распространиться и на следующий год. В дальнейшем команда Project Zero планирует постепенно снижать сроки разработки и внедрения патчей.