Google a ajouté une période supplémentaire de 30 jours à son cycle de divulgation des vulnérabilités pour donner aux clients plus de temps pour corriger les vulnérabilités avant que les détails techniques ne soient publiés.

L’équipe Project Zero du géant de la technologie est un chercheur prolifique des vulnérabilités de l’industrie et maintient une politique stricte de 90 jours de divulgation publique des vulnérabilités après notification du fournisseur, afin de faire pression sur les entreprises pour qu’elles émettent des correctifs plus rapidement.

«En pratique, cependant, nous n’avons pas observé de changement significatif dans les délais de développement des correctifs», a expliqué hier le manager Tim Willis. «Et nous avons continué à recevoir des commentaires des fournisseurs selon lesquels ils craignaient de publier publiquement des détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs n’aient installé le correctif. En d’autres termes, le calendrier implicite d’adoption des correctifs n’a pas été clairement compris. »

La période de grâce supplémentaire de 30 jours avant la publication des détails ne s’appliquera qu’aux bogues corrigés dans la période initiale de 90 jours. Si un problème n’est toujours pas corrigé après 90 jours, les détails techniques sont publiés immédiatement.

Google a également ajouté la période de 30 jours aux correctifs pour les bogues activement exploités dans la nature contre les utilisateurs. Si un problème n’est toujours pas corrigé après sept jours, les détails techniques sont publiés immédiatement, mais s’il est résolu dans un délai d’une semaine, ces détails seront désormais publiés 30 jours après le correctif.

Publicité

Willis a soutenu que la publication anticipée des détails entourant chaque bogue profite en fin de compte à la communauté défensive et aide à protéger les utilisateurs, mais il a reconnu que cela risquait également d’inviter des attaques opportunistes.

«Le passage à un modèle« 90 + 30 »nous permet de découpler le temps de mise à jour du temps d’adoption du patch, de réduire le débat controversé autour des compromis entre attaquants / défenseurs et le partage des détails techniques, tout en préconisant de réduire le temps nécessaire les utilisateurs sont vulnérables aux attaques connues », conclut-il.

Rate this post
Publicité
Article précédentLes voitures à moteur Honda se rapprochent des pénalités à Imola
Article suivantLa société chinoise de technologie Huawei a écouté le réseau mobile néerlandais KPN
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici