Politique et Divulgation : Édition 2025

"Google Project Zero a mis à jour sa politique de divulgation des vulnérabilités selon un modèle "90+30", visant à accélérer le développement et l'adoption des correctifs. Un défi majeur subsiste : le "patch gap" (l'écart de correctifs), le délai entre la publication d'une correction et son installation par les utilisateurs. Project Zero a identifié un délai antérieur, l'"upstream patch gap" (l'écart de correctifs en amont), où les fournisseurs en amont disposent de correctifs mais les dépendants en aval ne les ont pas intégrés. Cet écart en amont prolonge considérablement le cycle de vie des vulnérabilités. Pour y remédier, une nouvelle politique d'essai, la "Reporting Transparency" (Transparence des Rapports), est annoncée. Cet essai ajoute une divulgation publique dans la semaine suivant le signalement d'une vulnérabilité, incluant le fournisseur, le produit, la date du rapport et la date limite de divulgation. La politique principale 90+30 reste en vigueur, et Google Big Sleep expérimente également cette politique. L'objectif est de réduire l'écart de correctifs en amont en augmentant la transparence, en informant les dépendants en aval et en encourageant une meilleure communication. L'essai vise à suivre le temps écoulé entre le rapport et l'installation sur l'appareil de l'utilisateur, en soulignant les cas où les correctifs ne sont pas appliqués. Aucun détail technique ne sera publié avant la date limite ; il s'agit d'une alerte, pas d'un guide pour les attaquants. Bien que certains fournisseurs puissent faire l'objet d'une attention indésirable, les avantages l'emportent sur les risques pour une minorité. L'objectif ultime est un écosystème plus sûr avec des vulnérabilités corrigées sur les appareils des utilisateurs. Il s'agit d'un essai, et Project Zero en suivra les effets et adaptera les politiques en conséquence."