Inicjatywa Google Project Zero wielokrotnie w ciągu sześciu lat swojej działalności była krytykowana za bezkompromisowe podejście do egzekwowania zasad łatania odnalezionych luk bezpieczeństwa, szczególnie w kwestii skrupulatności w dotrzymywaniu terminów. Niejednokrotnie zdarzało się, że pracownicy Google ujawniali informacje o podatności po upływie 90 dni od zgłoszenia luki producentowi, nie bacząc na to, czy została ona załatana, czy nie. Były to także luki w systemie Windows, których ujawnienie bywało traktowane jako przejaw tarć pomiędzy obiema korporacjami, czego ofiarami byli końcowi użytkownicy. Argument w postaci ujawnienia PoC miał także pozytywne konsekwencje, gdyż wymuszał na producentach intensywne prace nad bezpieczeństwem swoich produktów. W ostatnim czasie Google Project Zero zdecydował, się jednak wprowadzić zmiany i w 2020 roku testowany będzie nowy harmonogram. Dotychczas informacje o podatności były upubliczniane po 90 dniach od jej zgłoszenia bądź w dzień publikacji łatki. Wyjątki można policzyć na palcach jednej ręki, należy do nich między innymi ujawnienie słynnej podatności Spectre/Meltdown. Według nowych zasad informacja o luce będzie upubliczniana zawsze dopiero po 90 dniach, chyba że obie strony uzgodnią inaczej. Google uzasadnia swoją decyzję zamiarem umożliwienia producentom oprogramowania opracowania wyższej jakości łatek oraz szerszej ich adaptacji, pośpiech mógł się bowiem odbijać na jakości oprogramowania. Główna zasada dotycząca bezwarunkowego ujawniania także niezałatanych podatności po 90 dniach pozostaje niezmieniona.

blog.google