Google a décidé d'assouplir le délai de communication de 90 jours que son équipe de Project Zero applique aux vulnérabilités en matière de sécurité après avoir eu un temps de récupération important à la suite d'un incident avec Microsoft..

Un article de blog de l'équipe a annoncé la mise en place d'un nouveau délai de grâce de 14 jours pour les vulnérabilités. Les échéances tombant le week-end seront automatiquement reportées au jour ouvrable suivant et l'affectation des CVE a été ajustée..

La période de grâce signifie que toute entreprise notifiée par Project Zero d'une vulnérabilité aura jusqu'à 104 jours pour publier un correctif, à condition que l'entreprise concernée reconnaisse qu'un correctif sera publié dans ce délai..

Comment ça se compare?

Cela vient après que l'équipe d'ingénieurs en sécurité de Google travaillant sous le pseudonyme de Project Zero a suscité de nombreuses critiques après que les détails d'une vulnérabilité de Microsoft aient été révélés à peine quelques jours avant Patch Patch, lorsque ce dernier prévoyait de déployer un correctif réparer.

Le blog a ensuite défendu la règle de divulgation de 90 jours en expliquant qu'il se comparait bien à la politique de divulgation de 45 jours du CERT et à la règle de 90 jours de Yahoo. Project Zero a commencé à lutter contre les vulnérabilités «jour zéro» en juillet 2014 et à ce jour, sur les 154 bogues identifiés, 85% ont été corrigés dans les 90 jours..

Via: Google

  • Protégez votre PC en téléchargeant et en installant un programme de notre liste des meilleurs logiciels antivirus gratuits 2015.