Chez Project Zero, la « politique des 90 jours » n’est plus. En tout cas sous sa forme historique. Google a décidé d’un assouplissement. Le temps de clarifier une notion qu’il estime « mal comprise ».
Cette notion, c’est la séparation des phases de développement et d’adoption des correctifs de sécurité. Jusqu’ici, elle était implicite. Tout éditeur auquel Project Zero rapportait une faille avait, de manière générale, 90 jours pour la colmater* avant qu’elle soit rendue publique avec les détails techniques. Il était censé inclure, dans ce délai, le temps nécessaire aux utilisateurs pour installer le patch. Cela ne s’est globalement pas réalisé, déplore Google.
Dans ce contexte, la politique de Project Zero subit trois changements majeurs.
Parmi ce qui ne change pas, on aura noté le cas des variantes. Leur signalement restera immédiat, au sein du même rapport que la faille principale.
Passer à du « 60 + 30 » serait trop brusque, admet Google. La « légère régression » pour laquelle le groupe américain a opté appelle toutefois un réajustement progressif. Première étape : « 84 + 28 » l’an prochain. Il s’agira de conserver des valeurs divisibles par 7 pour réduire les chances que les dates butoir tombent un week-end.
Pour aller plus loin sur les contributions de Project Zero :
* L’an dernier, Google avait affirmé que 97,7 % des signalements de Project Zero donnaient lieu à une correction sous 90 jours. Il avait fait évoluer sa politique sur un point en particulier : la gestion des correctifs incomplets.
Photo d’illustration © isaak55 – Shutterstock
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.
Intel se greffe au projet OPEA OPEA (Open Enterprise Platform for AI) et y pousse…
Le Conseil d’Administration de l’Association des Utilisateurs SAP Francophones ( USF) a réélu Gianmaria Perancin…
Le secteur du transport aérien utilise des algorithmes depuis des années. Mais cette chasse gardée…
Une option de traitement par lots est arrivée sur l'API OpenAI. Voici quelques clés de…