L’équipe de sécurité Project Zero de Google attendra 30 jours supplémentaires avant de divulguer les détails de la vulnérabilité afin que les utilisateurs finaux aient suffisamment de temps pour corriger le logiciel, Google a annoncé. Cela signifie que les développeurs auront encore 90 jours pour corriger les bogues réguliers (avec une période de grâce de 14 jours si demandé), mais Google attendra 30 jours supplémentaires avant de divulguer les détails publiquement. Pour les failles activement exploitées dans la nature (jour zéro), les entreprises ont encore sept jours pour corriger, avec une période de grâce de trois jours sur demande. Cependant, Google attendra désormais 30 jours avant de révéler les détails techniques.

L’année dernière, Google a accordé aux développeurs plus de temps pour corriger les bogues, en espérant qu’ils les corrigeraient assez rapidement pour donner aux utilisateurs finaux plus de temps pour corriger. «Dans la pratique, cependant, nous n’avons pas observé de changement significatif dans les délais de développement des correctifs, et nous avons continué à recevoir des commentaires des fournisseurs selon lesquels ils craignaient de publier publiquement des détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif,» Project Zero’s Tim Willis a écrit.

Désormais, les développeurs disposent de 90 ou sept jours pour développer un correctif, et les utilisateurs finaux auront 30 jours pour appliquer le correctif avant la divulgation. Cependant, si les délais de grâce sont demandés, ceux-ci seront raccourcis dans les délais de divulgation de 30 jours, de sorte que les bogues seront toujours révélés après 120 ou 37 jours, pour les failles régulières et zero-day – à condition qu’ils soient corrigés à temps. S’ils ne sont pas corrigés à temps, ils seront publiés respectivement dans 90 et 7 jours.

Cela s’appliquera en 2021, mais cela pourrait changer l’année prochaine. « Notre préférence est de choisir un point de départ qui peut être respecté de manière cohérente par la plupart des fournisseurs, puis de réduire progressivement les délais de développement et d’adoption des correctifs », a déclaré la société. Pour en savoir plus, consultez le Blog Google Project Zero Day.

Rate this post
Publicité
Article précédentComment réparer l’erreur tête à tête dans Madden NFL 21?
Article suivantBogues graves signalés dans la pile EtherNet / IP pour les systèmes industriels
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici