Команда безопасности Google Project Zero будет ждать дополнительные 30 дней, прежде чем раскрыть подробности относительно найденных уязвимостей. Это даст пользователям время для обновления программного обеспечения, по мнению Google. У разработчиков по-прежнему будет 90 дней для исправления обычных уязвимостей (с продлением на 14 дней, если потребуется). После этого Google будет ждать ещё 30 дней, прежде чем раскрывать подробности публично. Для уязвимостей, которые активно используются на практике (уязвимости нулевого дня) у компаний остаётся семь дней на исправление с трёхдневным продлением по запросу. Однако теперь Google будет ждать 30 дней, прежде чем раскрывать технические детали.

В прошлом году Google предоставила разработчикам больше времени для исправления уязвимостей. Там надеялись, что обновления будут выпускаться достаточно быстро, чтобы у пользователей было больше времени на их установку. «На практике мы не увидели значительного изменения в сроках разработки исправлений. Мы продолжали получать отзывы от производителей о том, что они обеспокоены публичным раскрытием технических подробностей об уязвимостях и эксплоитах до того, как большинство пользователей установят исправление», пишет Тим Уиллис из Project Zero.

Теперь у разработчиков есть полные 90- или 7-дневные периоды для разработки патчей, а у пользователей будет 30 дней на установку, прежде чем информация об уязвимостях будет обнародована. Если запрошено дополнительное время, оно войдёт в состав 30-дневного периода раскрытия информации. Это означает, что уязвимости всегда будут публиковаться через 120 или 37 дней для обычных и нулевых соответственно. Это при условии, что они будут исправлены вовремя. Если патчи не будут выпущены в срок, информация будет публиковаться через 90 и 7 дней соответственно.

Эти правила будут применяться в 2021 году, но могут измениться в следующем году. «Мы предпочитаем выбрать отправную точку, которой могут придерживаться большинство производителей, а затем постепенно сокращать сроки разработки и внедрения исправлений».