谷歌安全工程师Chris Evans和Drew Hintz近日在官方博客中表示，如果发现一些软件中的零日漏洞（指厂商还未修复的未知漏洞）被广泛利用，而相关供应商在7日内还未修复或采取进一步行动，谷歌将披露这些漏洞的相关细节，让用户自己采取措施。

一直以来，谷歌如果发现一些被利用的零日漏洞，会立即向受影响的供应商报告，并与他们合作，使问题得以尽快解决。谷歌建议企业应该在这些漏洞发现后的60天内修复，如果届时没有修复，企业应该告知用户相关的风险，并提供解决办法。

多年来，谷歌已经报告了几十个零日漏洞，其中包括XML解析漏洞、通用跨站脚本（XSS）漏洞以及其他一些针对Web应用的漏洞。

但谷歌发现，时间太长容易导致更多的系统遭受攻击，因此，谷歌决定将这一时间缩短至7天。

谷歌称，7天时间要求企业更新软件可能太短了，但这些企业完全可以在这个时间内采取一些弥补措施，比如暂停服务、限制访问等。如果7天之后这些企业还没有发布任何补丁或建议，谷歌将支持研究者公布相关细节，以便用户可以采取一些措施来保护自己。

很显然，这种措施可以加大企业对安全的重视，但是也有副作用，比如企业在7天之内发布了补丁，但用户没有及时更新（见《Rails 老漏洞仍在肆虐，请尽快升级》），公布漏洞细节可能会造成更大范围的危害。