 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
Conformément aux efforts de normalisation entrepris par l'IETF, le Cert-IST s'est fixé une politique de divulgation responsable des failles de sécurité.
Politique du Cert-IST en matière de divulgation des vulnérabilités
L'objectif de
cette politique est de fixer les règles de conduite suivies par le Cert-IST en
matière de divulgation des vulnérabilités. Elle vise notamment à assurer la
sécurité de la communauté Cert-IST et à permettre aux Éditeurs de développer rapidement des solutions concernant
leurs problèmes de sécurité.
-
Le Cert-IST respecte le processus décrit dans le Draft "Responsible Vulnerability Disclosure Process". Son rôle premier (au sens de ce draft) est celui de Coordinateur (entité qui travaille avec l'Éditeur et le Rapporteur pour analyser une vulnérabilité). Il peut parfois aussi jouer le rôle de Rapporteur (entité qui informe l'Éditeur d'une nouvelle vulnérabilité).
-
Le Cert-IST s'engage à respecter une période de grâce qui est en général de 30 jours avant de publier ses avis. Ainsi, lors de la découverte d'une nouvelle vulnérabilité, le Cert-IST notifie l'Éditeur, en lui précisant les informations qu'il compte publier sans réponse de sa part passé ce délai de grâce. Dans la mesure où la réalité de la menace amène à raccourcir ce délai, les différents acteurs (notamment l'Éditeur) en sont informés. Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...).
-
Lors de la notification à l'Éditeur, le Cert-IST s'engage à fournir toutes les informations nécessaires pour permettre à l'Éditeur de qualifier la vulnérabilité : problème rencontré, versions testées, code utilisé et toutes les informations techniques utiles à la compréhension du problème. La notification se fait de manière générale par mail et la date de notification est enregistrée.
-
Sauf avis contraire de la part du Rapporteur, le Cert-IST mentionne le nom du Rapporteur à l'Éditeur lors de la notification et à sa communauté lors de la publication de l'avis.
-
La politique du Cert-IST sera appliquée pour tous les Éditeurs de manière uniforme.
-
En cas de risques de sécurité importants, le Cert-IST se réserve néanmoins le droit de publier les informations en sa possession en-deça ou au-delà de ce délai de grâce, la décision de publier ou non un avis prenant en compte les enjeux en terme de sécurité et les intérêts des différents acteurs. Dans la mesure du possible, le Cert-IST proposera une technique de contournement pour permettre aux utilisateurs de se protéger contre l'exploitation de la vulnérabilité.
|
|
 |
policy_draft-christey-wysopal-vuln-disclosure-00 |
|
|