정책 및 고지: 2025판

구글 프로젝트 제로가 취약점 공개 정책을 "90+30" 모델로 업데이트하여 패치 개발 및 채택을 가속화하고 있습니다. 그러나 여전히 중요한 도전 과제가 남아 있습니다. 즉, 패치가 출시된 후 사용자가 설치하는 데 걸리는 지연, 즉 "패치 갭"입니다. 프로젝트 제로는 업스트림 벤더가 패치를 가지고 있지만 다운스트림 의존 대상이 이를 통합하지 않은 "업스트림 패치 갭"을 확인했습니다. 이 업스트림 갭은 취약점 수명 주기를 상당히 연장합니다. 이를 해결하기 위해 새로운 시험 정책인 "보고 투명성"을 발표합니다. 이 시험에서는 취약점을 보고한 후 1주 이내에 공공적으로 공개하여 벤더, 제품, 보고 날짜, 공표 마감일을 포함합니다. 핵심 90+30 정책은 유지되며 구글 빅 슬립도 이 정책을 시험합니다. 이 정책의 목표는 투명성을 높이고 다운스트림 의존 대상에게 정보를 제공하여 업스트림 패치 갭을 줄이는 것입니다. 이 시험은 보고서에서 사용자 기기 설치까지의 시간을 추적하여 패치가 적용되지 않은 경우를 강조합니다. 공표 마감일까지는 기술적인 세부 사항이 공개되지 않으며, 이는 공격자에게 블루프린트가 아니라 경고입니다. 일부 벤더는 불편한 주의를 받을 수 있지만, 소수에 대한 위험은 생태계의 안전을 위해 취약점을 해결하는 데 있어 가치가 있습니다. 궁극적인 목표는 사용자 기기에 취약점을 해결하는 안전한 생태계입니다. 이 정책은 시험 단계이며 프로젝트 제로는 그 효과를 추적하고 정책을 적절하게 조정할 것입니다.