Google Project Zero Changes Its Disclosure Policy
Mis à jour :
Évolution de la Politique de Divulgation de Project Zero
L’équipe Project Zero de Google modifie sa politique de divulgation des vulnérabilités. Tout en maintenant le délai de 90 jours avant la divulgation complète, avec une extension de 30 jours pour l’application des correctifs, l’équipe publiera désormais des informations limitées sur chaque découverte une semaine après la notification au fournisseur. Ces informations incluront le nom du fournisseur ou du projet open-source concerné, le produit affecté, la date de soumission du rapport et la date d’expiration du délai de divulgation.
Cette approche suscite des réactions mitigées, car elle vise à accélérer le processus de correction par les fournisseurs. Cependant, l’absence d’indications sur la gravité des failles pourrait engendrer des paniques inutiles. De plus, le rôle de Google en tant que découvreur et diffuseur de vulnérabilités pourrait potentiellement lui conférer un avantage sur ses concurrents.
Points Clés :
- Maintien de la politique de divulgation de 90 jours.
- Ajout d’une publication d’informations limitées une semaine après la notification au fournisseur.
- Objectif : Pression accrue sur les fournisseurs pour des correctifs rapides.
- Préoccupation : Risque de panique due à l’absence d’indication sur la gravité.
- Conflit d’intérêts potentiel pour Google.
Vulnérabilités :
Aucune vulnérabilité spécifique avec des identifiants CVE n’est mentionnée dans cet article.
Recommandations :
- Les fournisseurs doivent se préparer à une divulgation plus rapide d’informations sur les vulnérabilités découvertes par Project Zero.
- Une communication claire sur la gravité des vulnérabilités sera nécessaire pour éviter une panique inutile.