Project Zero de Google, une équipe de ingénieurs de sécurité dédiés chargé de réduire le nombre de vulnérabilités «jour zéro» sur l’ensemble de l’Internet, déclare donner aux développeurs 30 jours supplémentaires avant de divulguer les problèmes de vulnérabilité, afin de donner aux utilisateurs finaux le temps de patcher leur logiciel.

Les développeurs auront encore 90 jours pour corriger les bogues, mais Project Zero attendra encore 30 jours avant de divulguer publiquement les détails du bogue. Si une faille est activement exploitée dans la nature, une entreprise aura sept jours pour publier un correctif et une période de grâce de trois jours sur demande. Mais Google Project Zero attendra 30 jours avant de divulguer les détails techniques.

En 2020, Google a annoncé un essai pour permettre aux développeurs 90 jours de travailler sur le développement et l’adoption de correctifs, avec l’idée que si un développeur voulait plus de temps pour permettre aux utilisateurs d’installer un correctif, ils expédieraient les correctifs au début des 90 jours. période. «Dans la pratique cependant, nous n’a pas observons un changement significatif dans les délais de développement des correctifs, et nous avons continué à recevoir des commentaires des fournisseurs qui craignaient de publier publiquement des détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif », a écrit Tim Willis de Project Zero dans le billet de blog. « En d’autres termes, le calendrier implicite d’adoption des correctifs n’a pas été clairement compris. »

L’objectif de la mise à jour 2021, a écrit Willis, est de faire du calendrier d’adoption du correctif une partie explicite de sa politique de divulgation des vulnérabilités. «Cette politique 90 + 30 donne aux fournisseurs plus de temps que notre politique actuelle, car passer directement à une politique 60 + 30 (ou similaire) serait probablement trop brusque et perturbateur», a-t-il écrit. «Notre préférence est de choisir un point de départ qui peut être constamment respecté par la plupart des fournisseurs, puis de réduire progressivement les délais de développement et d’adoption des correctifs.

Rate this post
Publicité
Article précédentPremier League LIVE: Arsenal v Fulham & Man Utd v Burnley score, commentaires et mises à jour – En direct
Article suivantAnalyse SWOT du marché de la facturation des télécommunications, indicateurs clés d’ici 2026 | Accenture, Ericsson, Huawei Technologies, Nec Corporation, Oracle Corporation, etc. – KSU
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici