Home » Le Project Zero de Google attendra plus longtemps avant de révéler les failles de sécurité

Le Project Zero de Google attendra plus longtemps avant de révéler les failles de sécurité

by Les Actualites

L’équipe de sécurité Project Zero de Google attendra 30 jours supplémentaires avant de divulguer les détails de la vulnérabilité afin que les utilisateurs finaux aient suffisamment de temps pour corriger le logiciel, a annoncé Google. Cela signifie que les développeurs auront encore 90 jours pour corriger les bogues réguliers (avec une période de grâce de 14 jours si demandé), mais Google attendra 30 jours supplémentaires avant de divulguer les détails publiquement. Pour les failles activement exploitées dans la nature (jour zéro), les entreprises ont encore sept jours pour corriger, avec une période de grâce de trois jours sur demande. Cependant, Google attendra désormais 30 jours avant de révéler les détails techniques.

L’année dernière, Google a accordé aux développeurs plus de temps pour corriger les bogues, en espérant qu’ils les corrigeraient assez rapidement pour donner aux utilisateurs finaux plus de temps pour corriger. «Dans la pratique, cependant, nous n’avons pas observé de changement significatif dans les délais de développement des correctifs, et nous avons continué à recevoir des commentaires des fournisseurs selon lesquels ils craignaient de publier publiquement des détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif,» Project Zero Tim Willis a écrit.

Désormais, les développeurs disposent de 90 ou sept jours pour développer un correctif, et les utilisateurs finaux auront 30 jours pour appliquer le correctif avant la divulgation. Cependant, si les délais de grâce sont demandés, ceux-ci seront raccourcis dans les délais de divulgation de 30 jours, de sorte que les bogues seront toujours révélés après 120 ou 37 jours, pour les failles régulières et zero-day – à condition qu’ils soient corrigés à temps. S’ils ne sont pas corrigés à temps, ils seront publiés respectivement dans 90 et 7 jours.

Cela s’appliquera en 2021, mais cela pourrait changer l’année prochaine. «Notre préférence est de choisir un point de départ qui peut être constamment respecté par la plupart des fournisseurs, puis de réduire progressivement les délais de développement et d’adoption des correctifs», a déclaré la société. Pour en savoir plus, consultez le blog Google Project Zero Day.

Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.