Google aikoo testata uutta käytäntöä, jossa havaituista tietoturva-aukoista kerrotaan julkisuuteen vasta 90 päivää korjauksen julkaisun jälkeen.

Tähän asti Project Zero on tarjonnut kehittäjille vain 90 päivän aikaikkunan havaitun haavoittuvuuden korjaamiseksi ennen kuin Googlen tutkijat ovat kertoneet siitä julkisuuteen. Mikäli korjaus on julkaistu ennen 90 päivän aikaikkunan sulkeutumista, on haavoittuvuuden tiedot paljastettu heti.

Vastaisuudessa kehittäjä voi luottaa siihen, että Project Zero -tiimi pitää suunsa supussa aina 90 päivää korjauksen julkaisun jälkeen. Näin valmistajat voivat paremmin varautua aukon julkistamiseen.

Google arvioi uuden käytännön paremmaksi myös siitä syystä, että kun korjaus on julkaistu, haavoittuvuudesta tiedottaminen pakottaa ohjelmistojen käyttäjät reagoimaan todella nopeasti. Panttaamalla tietoa toiset kolme kuukautta ovat käyttäjät todennäköisesti jo ehtineet asentaa päivityksensä, ennen kuin haavoittuvuudesta tulee julkinen.

Project Zero on myös valmis antamaan kehittäjälle 14 lisäpäivää ennen tietojensa paljastamista julkisuuteen. Tämä tosin vain siinä tapauksessa, että haavoittuvuus osoittautuu hankalasti korjattavaksi. Hyökkäyksiin käytetyt haavoittuvuudet paljastetaan kuitenkin seitsemän päivän jälkeen, kuten tähänkin asti.