「零日漏洞」(zero-day) 又称零时差攻击,是指被发现后立即被黑客恶意利用的安全漏洞,即在漏洞曝光的同一天内,相关的恶意程序就会出现。这种攻击往往具有很大的突发性与破坏性,并且用户并不能在第一时间获得有效的系统补丁和安全保护。
Google 此前已针对自有产品推出漏洞奖励计划,而此次成立 Project Zero,旨在提升「任何拥有大量用户的软件」的安全性能。Project Zero 的研究内容中包括部分标准项目,如确定与报告漏洞,此外也将进行采集与程序分析等研究。
Google 表示,「我们的目标是减少具有针对性的网络攻击。我们将会聘请最好的的安全研究人员帮助改善互联网安全,并为此付出全部努力。」消息表示外部人员也可申请加入这一项目,但目前并未透露具体参与方式。
Google 已经建立了外部数据库,新发现的程序漏洞将被汇报至数据库中,但在此之前软件开发商会首先获知消息,从而得以及时发布相应补丁。此外漏洞研究过程中的相关讨论,包括其可能被利用的方式,都将向公众公布。
目前 Google 工作人员已经拥有了数目庞大的软件研究记录,此外其他公司也组建了类似的研究小组。惠普的 TippingPoint Zero Day InITiative (TippingPoint 零日计划) 就与 Google 零日计划机制相似,奖励提交软件漏洞的第三方人员,而微软也拥有类似项目,接受第三方人员报告漏洞,但并不会向其提供奖励。
